SSL Zertifikat erneuert, Mail-Client sagt nein

skyslycer · 25. Juli 2023

Hi,

meine Mailcow & Roundcube Instanzen liefen bis jetzt ohne Probleme, als dann das Zertifikat auslief.

Ich habs mit Let's Encrypt's Certbot erneuert, jedoch kann man sich nicht mehr einloggen.

In Roundcube wird nur ein Verbindungsfehler angezeigt, und in Dovecot dann, dass das Zertifikat ausgelaufen ist.

Ebenso wenn ich mich versuche mit GMail anzumelden.

Das verwirrt mich jedoch sehr, da ich für die mail und die webmail subdomains die Zertifikate erneuert habe, ich die Seiten ohne Probleme aufrufen kann und Certbot sonst auch

keine abgelaufenen Zertifkate anzeigt. Auch jeder SSL Checker durch den ich meine Domains durchjage, meint, dass alles passt.

Inzwischen bin ich verwirrt und weiß nicht mehr genau was ich da jetzt machen soll.

Falls jemand es selber prüfen will:
Mail (mit IMAP und POP und so): mail.simpledmx.com
Webmail (Roundcube): webmail.simpledmx.com

MfG, Danke im Vorraus

cltrmx · 25. Juli 2023

Also zumindest auf Port 465 und 995 liefert mail.simpledmx.com noch immer ein abgelaufenes Zertifikat aus. Hast du die Services nach dem Erneuern des Zertifikats mal komplett neugestartet?

[gelöschtes Individuum] · 25. Juli 2023

Edit: Falsch gelesen

skyslycer · 25. Juli 2023

Ich glaube ich weiß wo das Problem liegt. Bei Mailcow habe ich Zertifikate nicht normal im /etc/letsencrypt/..., sondern im eigenen "data"-Ordner. Ich schätze ein symlink sollte das Problem beheben, mal schauen.

cltrmx · 25. Juli 2023

Zitat von skyslycer

Ich glaube ich weiß wo das Problem liegt. Bei Mailcow habe ich Zertifikate nicht normal im /etc/letsencrypt/..., sondern im eigenen "data"-Ordner. Ich schätze ein symlink sollte das Problem beheben, mal schauen.

Ich bin mir nicht sicher, ob ich dich richtig verstanden habe: Mailcow läuft ja in Docker Containern, deshalb kann es sein, dass der Symlink *innerhalb des Containers* nicht korrekt aufgelöst werden kann..

Macht Mailcow nicht den ganzen Zertifikatskram komplett eigenständig?

skyslycer · 25. Juli 2023

Dachte ich auch, wie man sieht, ist dem nicht so.

Ich hab mal versucht symlinks zu den Zertifikaten von Certbot zu machen... Hat sie gelöscht und komplett neue gemacht.

Naja, geht immer noch nicht.

Hab jetzt noch ein bisschen gestöbert und meine NGINX Config der in der Mailcow Wiki angepasst.

Der acme-Client von Mailcow will trotzdem kein neues Zertifikat holen, weil: Ideen?

Code

mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:02 CEST 2023 - Initializing, please wait...
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Using existing domain rsa key /var/lib/acme/acme/key.pem
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Detecting IP addresses...
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - OK: 202.61.254.123, 2a03:4000:55:fe5:e8c2:daff:fe48:4c56
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Found A record for mta-sts.simpledmx.com: 202.61.254.123
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Confirmed A record with IP 202.61.254.123, but HTTP validation failed
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Found AAAA record for autodiscover.simpledmx.com: 2a03:4000:55:fe5:e8c2:daff:fe48:4c56 - skipping A record check
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Confirmed AAAA record with IP 2a03:4000:0055:0fe5:e8c2:daff:fe48:4c56, but HTTP validation failed
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Found AAAA record for autoconfig.simpledmx.com: 2a03:4000:55:fe5:e8c2:daff:fe48:4c56 - skipping A record check
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Confirmed AAAA record with IP 2a03:4000:0055:0fe5:e8c2:daff:fe48:4c56, but HTTP validation failed
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Found AAAA record for mail.simpledmx.com: 2a03:4000:55:fe5:e8c2:daff:fe48:4c56 - skipping A record check
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Confirmed AAAA record with IP 2a03:4000:0055:0fe5:e8c2:daff:fe48:4c56, but HTTP validation failed
mailcowdockerized-acme-mailcow-1 | Tue Jul 25 15:12:03 CEST 2023 - Cannot validate any hostnames, skipping Let's Encrypt for 1 hour.
mailcowdockerized-acme-mailcow-1  | Tue Jul 25 15:12:03 CEST 2023 - Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.

Alles anzeigen

cltrmx · 25. Juli 2023

Hast du vor der Mailcow noch einen weiteren reverse proxy laufen? Die Fehlermeldung sieht danach aus, dass die HTTP-Anfrage fehlschlägt bzw. die Challenge nicht klappt.

skyslycer · 25. Juli 2023

Yep, NGINX, benutze die vorgeschlagene Konfiguration.

cltrmx · 25. Juli 2023

Wie genau sieht die Config denn aus? Ist dein nginx auch so konfiguriert, dass er über legacy IP und IPv6 die well-known Challenge an den Container von Mailcow weiterreicht?

skyslycer · 25. Juli 2023

Also, habe jetzt nochmal die Config 1 zu 1 kopiert und jetzt gehts. Danke an jeden der geholfen hat!

Ich hab nun nur noch eine Frage:
Ich hatte letztens Probleme mit der CSP (Content-Security-Policy) und eval. Einige Services die ich hoste (wie YouTrack oder Wiki.js) nutzen eval und können auf Grund meiner CSP nicht laden.

Meine CSP:

Code

add_header Content-Security-Policy "default-src 'self' http: https: ws: wss: data: blob: 'unsafe-inline'; frame-ancestors 'self';" always;