SSL Zertifikate unter Plesk

  • Guten Morgen,


    habe mir gestern ein RapidSSL Zertifitkat für meine Domain ausstellen lassen. Nun ist es ja so dass wenn man ein Zertifikat für "www.domain.com" bestellt, die "domain.com" Variante inbegriffen ist.
    Funktioniert bei HTTPS auch wunderbar nur bin ich mir nicht sicher ob das auch für imapS und smtpS funktioniert. Da das einbinden via Plesk ja nur gegen weitere Bezahlung funktioniert habe ich das per Console gemacht.
    Wenn ich nun über die Webseite "CheckTLS" den Test durchführe bemängelt er folgendes:


    Cert Hostname DOES NOT VERIFY (mail.domain.com != www.domain.com)



    Habe den DNS Eintrag mit "mail.domain.com" bereits geändert (dauert ja bis 48h) weil der Mailserver unter Plesk (soweit ich weiss) unter der Domain läuft, sprich domain.com (als Beispiel).
    Kann ich hierfür mein bereits ausgestelltes Zertifikat verwenden oder "kapiert" das der Webserver nicht?


    Und wenn ich schon gleich dabei bin, gibt es eine Möglichkeit die Verbindung OHNE SSL auf den Mailserver zu unterbinden?
    Ein Link zu einer aktuellen Anleitung (Plesk 12, Dovecot, Postfix) die auch wirklich funktioniert genügt :)

  • Hab im Moment nur eine, aber es kommt eine zweite dazu.


    Das mit dem Default scheint wohl nicht zu klappen da Plesk (soweit ich weiss) das Default nur für HTTP(S) benutzt. Die für die Mailserver als auch die FTP Server sind wohl einzeln

  • Kann ich jetzt nicht unbedingt bestätigen. Bei meiner Plesk Installation wird das Zertifikat auch für den FTP server verwendet.


    Postfix -> /etc/postfix/main.cf smtpd_tls_cert_file ist da die anlaufstelle (bzw. was dazu gehört)
    dovecot -> /etc/dovecot/dovecot.conf


    Ich empfehle in dem Schritt auch schonmal DH Parameter anzupassen bzw. die cipher suite zu überprüfen.


    Siehe zB BetterCrypto⋅org

  • Was ich bist jetzt gemacht habe ist folgendes:



    Habe die beiden Datein


    /etc/postfix/postfix_default.pem
    /etc/dovecot/private/ssl-cert-and-key.pem


    editiert und mein Zertifikat (Private Key und Certificate) eingefügt (inkl. Serverneustart). Das scheint auch zu funktionieren denn der Test liest ja "www.domain.com" aus.
    Eventuell liegt es vielleicht wirklich noch am DNS Eintrag der vorher auf "mail.domain.com" lief und jetzt noch nicht aktualisiert wurde.




    PS:
    Das mit dem FTP und dem Default Zertifikat muss ich zu Hause probieren, habe keinen FTP Client hier


    PSS:
    Das mit dem Cipher ist Neuland, muss ich mich erstmal einlesen



    EDIT:
    Scheint so als wenn er jetzt "Domain.com" als Mailserveradresse hat.
    Gibt es ein zuverlässiges Tool um zu prüfen ob das Zertifikat funktioniert und erkannt wird?

  • Dovecot würde zwar auch mehrere Zertifikate mittels SNI unterstützen, aber das kann im Moment kaum ein Client-Programm… :D


    Gibt es ein zuverlässiges Tool um zu prüfen ob das Zertifikat funktioniert und erkannt wird?


    Ja: openssl s_client – siehe Manpage dazu :)



    Für POP3 und SMTP einfach die Ports und Bezeichnungen entsprechend austauschen! ;)



    MfG Christian

  • Klasse, nun ist auch klar (zumindest hoffe ich das) was nicht funktioniert.


    Hier ein Auszug aus dem Ergebnis:




    Meine Interpretation ist, dass er versucht die "www.myvserver.info" Domain zu nehmen anstatt "myvserver.info". Denke das liegt daran, dass ich die www Adresse als Zertifikatsursprung genommen habe.
    Stimmt das??

  • Die Sache mit dem www sollte egal sein. Ich habe selbst jahrelang ein RapidSSL-Zertifikat für Postfix/Dovecot mit www Prefix genutzt, das somit auch für den Domainnamen alleine gültig war.


    Hast Du in der PEM-Datei mit Deinem Zertifikat auch das (richtige) Zwischenzertifikat von RapidSSL hinzugefügt? Ohne dem kann er es nicht validieren, da somit nur die CA bekannt ist und etwas in der Kette fehlt. Siehe hier: RapidSSL - Knowledge Center - SSL Certificates Support


    Vereinfacht gesagt musst Du nur den Inhalt des Zwischenzertifikats (BEGIN bis END) hinter Dein Zertifikat hängen. Dann nochmals die Dienste neu starten.


    EDIT: Manchmal braucht der Test mit OpenSSL auch noch einen weiteren Parameter, damit er es validieren kann: -CApath /etc/ssl/certs/ (sofern ca-certificates installiert ist)



    MfG Christian

  • Ich habe in meinen PEM Dateien erste den Private Key, dann das Zertifikat und dann das CA Zertifikat


    alle jeweils mit Begin und End .... oder ist es andersrum?



    EDIT:
    Mit deinem Zusatz kommt jetzt Status 0 raus (ok)
    Super, danke!


    EDIT2:
    bei Tests von einer externen Seite kommt immer noch die Meldung mit dem "mail.myvserver.info" ... das dauert wohl echt ne Weile bis das überall durch ist.
    Hier der Bericht:



    hab die DNS Einstellungen der Domain bei "MX" auf "myvserver.info" gesetzt und auch in Postfix/Dovecot taucht der "mail" Zusatz nicht auf

  • bei Tests von einer externen Seite kommt immer noch die Meldung mit dem "mail.myvserver.info" ... das dauert wohl echt ne Weile bis das überall durch ist.


    Das kann durch den Cache (an den sich manche nicht halten und noch länger zwischenspeichern) durchaus dauern. Prinzipiell scheint die Änderung durch zu sein:



    Das sollte aber weder Deine Server <-> Server Kommunikation über SMTP noch Deine Client -> Server Kommunikation über SMTP/IMAP/POP3 beeinträchtigen. Ich würde sagen Du bist fertig. Teste es einfach einmal in Deinem lokalen Mail-Programm, ob alles verschlüsselt klappt, wenn du myvserver.info als Adresse verwendest, dann war es das! Die restlichen externen Tests werden dann schon noch auf einen positiven Status springen… :)



    MfG Christian

  • Servus,


    hab jetzt in Outlook 2013 ein neues Konto für "myvserver.info" eingerichtet.
    Eingangsserver: 993 mit SSL
    Ausgangsserver: 465 mit SSL


    Senden und Empfangen klappt einwandfrei, damit dürfte das Thema wirklich gegessen sein.
    Vielen Dank für eure Hilfe! :thumbsup:

  • Super, schau Dir aber trotzdem noch (sofern nicht getan) die ganze Cipher Geschichte an, wie von redhell vorgeschlagen, damit Deine Verschlüsselung am Stand der Technik ist! :)


    Siehe z.B. auch: Logjam: PFS Deployment Guide (SSLv2/SSLv3 abschalten; eigene starke DH-Parameter; nur sichere Verfahren mit PFS unterstützen; …)



    MfG Christian

  • Guten Morgen,


    yep, ich habe bereits "den Poodle ausgesperrt" aber mit dem DH Kram warte ich noch zu. Zum einen ist mir nicht ganz klar,
    wie das Ganze funktioniert und zum anderen eier ich hier auf Apache 2.2.x (wegen Plesk) rum. Habe keine Ahnung wie Plesk 12 auf Apache 2.4.x reagiert
    und im Moment habe ich auch nicht die Zeit mich das so intensiv einzuarbeiten wie ich es gerne würde.


    Denke mit den getroffenen Massnahmen (und die folgende Abschaltung aller nicht benötigten Ports und Dienste) ist mein vServer doch gar nicht schlecht dabei :)


    Eine Frage habe ich aber dann doch noch:
    Bei deinem Link ist die Rede von
    "If you are using Apache with LibreSSL, or Apache 2.4.7 and OpenSSL 0.9.8a or later, you can append the DHparams you generated earlier to the end of your certificate file."


    Ist damit das SSL Zertifikat gemeint?


    EDIT
    Hab n Fix von Odin für Plesk 12 gefunden und nun kriege ich auf SSL Server Test (Powered by Qualys SSL Labs) ein "A". Denke dann ist das Ganze auch gemacht und ich befinde mich weiterhin auf Kurs

  • Das A+ bekommst du uebrigens sobald du HSTS einschaltest ;-)
    Und ja die Beschreibung fuer dhparam ist so simpel wie sie sich anhoert, das dhparam.pem einfach an das Zertifikat konkatenieren.

  • Ich habe das Plesk Image für Debian installiert und hatte 2.2.X drauf.
    Spielt im Moment auch keine Rolle da mir das absichern wichtiger ist / war als überall das Neueste drauf zu haben.
    Werde erstmal den Server zu Ende absichern (möchte noch gerne alle Mail Ports bis auf die für SSL abschalten - bin der einzige Mailuser) und dann
    steht sowas auf dem Plan bevor ich meine Webseite migrieren werde.


    Gibt es eigentlich sowas wie ein "Script" dass meinen Server auf möglichst viele Schwachstellen prüft oder kann man sich das schenken wenn man die gängigen Regeln befolgt?

  • Gibt es eigentlich sowas wie ein "Script" dass meinen Server auf möglichst viele Schwachstellen prüft oder kann man sich das schenken wenn man die gängigen Regeln befolgt?


    Ein schönes Skript ist testssl.sh welches die SSL/TLS Konfigurationen auf bekannte Schwachstellen checkt.
    Damit lässt sich die korrekte Verschlüsselung von Web- und Mailserververbindungen überprüfen (da es in diesem Thread ja hauptsächlich darum geht).

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus