Mehrere Domains mit eigenem SSL Zertifikat (Proftpd + Mailserver)

  • Nabend,


    habe ja dank der Hilfe einiger User es geschafft unter Plesk 12 den Server abzusichern und das SSL Zertifikat zum laufen zu kriegen.


    Nun habe ich mir heute für die 2. Domain ein SSL Zertifikat gekauft und wollte es einrichten. Für die Domains funktioniert HTTPS einwandfrei, der Proftpd und der Mailserver zicken allerdings rum.
    Was ich beim einrichten des ersten Zertifikats gemacht habe:


    Ich habe bei beiden Servern das SSL Zertifikat der Domain A fix zugewiesen da sonst das "Standardzertifikat" genommen worden wäre.


    Wie kriege ich es nun hin das beide Services (Proftpd und Dovecot/Postfix) jeweils das richtige Zertifikat auswählen?
    Stichwort SNI wurde genannt aber ich habe nicht so den Durchblick wie mir das beim FTP und beim Mailserver hilft und vorallem wie ich das einrichten kann.


    Danke für eure Hilfe

  • Servus, ich misch mich mal wieder ein… 8o


    Wie kriege ich es nun hin das beide Services (Proftpd und Dovecot/Postfix) jeweils das richtige Zertifikat auswählen?
    Stichwort SNI wurde genannt aber ich habe nicht so den Durchblick wie mir das beim FTP und beim Mailserver hilft und vorallem wie ich das einrichten kann.


    Simple Antwort auf den hervorgehobenen Teil: Gar nicht in der Praxis! ^^


    Normalerweise macht man es bei solchen Diensten einfach so, dass man sich für einen Domainnamen entscheidet, den man den Usern dann einfach mitteilt, dass sie den verwenden sollen, damit es keine Warnmeldungen gibt. Also z.B. einfach der Hostname vom Server.


    Beispiel: Du hast die Domains example.com und example.net, alles schön mit HTTPS eingerichtet. Für FTP/Mail/usw. nimmst Du z.B. eine komplett unabhängige (Sub-) Domain (mein-toller-server.example.net) und richtest alles entsprechend ein. Wenn man keinen Bezug zu den anderen beiden Domains sehen soll, wirst Du halt leider um eine ganz andere Domain nicht herumkommen, z.B. server1.moritz-network.net. :D Den Mail und FTP Usern der vorher genannten Domains sagst Du einfach, dass sie mein-toller-server.example.net zum Verbinden verwenden sollen. Keine Zertifikatsfehlermeldungen, Problem gelöst. im Falle vom Mailserver musst Du nur darauf achten, dass der Hostname vom Zertifikat mit dem Mailhostnamen, dem rDNS-Eintrag und dem MX-Eintrag der zu empfangenden Domains zusammenpasst. Ansonsten könnte die sichere Übertragung eingehender Mails fehlschlagen.


    Beispiel aus der Praxis: Ich habe mehrere Domains auf einem System laufen (z.B. killerbees19.at oder happytec.at), mit HTTPS und ich würde nicht wollen, dass der Hostname vom Server bei Mailverbindungen (FTP betreibe ich nicht) irgendeinen direkten Rückschluss auf diese Domains zulässt. Ich verwende dafür eine komplett eigene Domain, wo jedes System eine eigene Subdomain als Hostname bekommt (z.B. srv-001.fnx.li). Die MX-Records der Domains verweisen alle auf diesen Hostnamen und zum sicheren Verbinden mit IMAP/POP3/SMTP muss man auch diesen Hostnamen verwenden.


    Das ist aus Usersicht natürlich blöd. Falls man irgendwann alles auf einen anderen Server verschiebt, wo sich der Hostname ändern würde, müsste der User seine lokale Konfiguration im Mail oder FTP-Programm anpassen, was gerne für Unverständnis sorgt. Die großen Anbieter lösen das meistens durch Wildcard-Zertifikate (*.example.org) und sagen dem Kunden: Verbinde Dich auf deine-domain-tld.example.org, da sie diesen Eintrag beliebig auf andere Server zeigen lassen können, ohne dass der Kunde es merkt. Für uns, als kleine Mitspieler mit privaten Servern, sollte das egal sein. Wildcard-Zertifikate sind für uns normalerweise übertrieben und kosten auch zu viel.


    Ich hoffe das war halbwegs verständlich, falls nicht, bitte einfach nachfragen! :)



    MfG Christian

  • Musste es zwar mehrmals lesen, aber das liegt daran das vieles noch nicht so verinnerlicht wurde :)


    Is ja doof das SNI so nichts bringt -.- Könnte auch auf SSH (als FTP Ersatz) und einfach unter "@domain1.de" die 1-2 Mailadressen erstellen. Sie sind ja eh nicht im Klartext ersichtlich.


    Das mit der Subdomain wäre natürlich n Ansatz, nur sind da meine SSL Zertifikate gleich wieder sinnfrei da ich ein neues Zertifikat bräuchte. Wie verhält sich das denn bei einer 2. IP? Da würde doch die Mailserverinstanz unter beiden IPs laufen oder ist es immer noch eine IP?


    Danke für das Praxisbeispiel (macht vieles verständlicher) und deine sehr ausführliche Antwort, TOP!

  • Das mit der Subdomain wäre natürlich n Ansatz, nur sind da meine SSL Zertifikate gleich wieder sinnfrei da ich ein neues Zertifikat bräuchte.


    Das könnte man ja auch mit einem kostenlosen Zertifikat lösen. Die erfüllen ihren Zweck genauso und erzeugen auch keine Fehlermeldungen, siehe nachfolgende Testseite: https://wosign-test.happytec.at/ (ein Testbeispiel für IMAPS/POP3S/SMTPS gibt es auf Wunsch per PN)


    Wie verhält sich das denn bei einer 2. IP? Da würde doch die Mailserverinstanz unter beiden IPs laufen oder ist es immer noch eine IP?


    Einmal unabhängig davon, dass das als Begründung für eine weitere IPv4-Adresse nicht durchgehen wird, da es kaum noch welche gibt: Das hängt von der Software ab. Rein theoretisch ist es natürlich einmal die gleiche Instanz mit der gleichen Konfiguration. Das könnte man mit weniger oder auch mehr Aufwand zwar ändern, bringt Dich aber vermutlich nicht sonderlich weit. Bei FTP könntest Du es auch ohne andere IP mit einem zusätzlichen Port lösen. Bei IMAPS/POP3S/SMTPS ebenfalls. Nur Port 25, auf dem andere Mailserver einliefern, wirst Du nicht umbiegen können. Wozu auch? Den bekommt eh keiner direkt zu Gesicht.


    Ich kann Dir nur nochmals raten: Mach Dir nicht so viele Gedanken über das FTP/Mail Zertifikats Zeugs. Du verrennst Dich da in etwas, was es nicht wert ist. Entscheide Dich für eine (Sub-) Domain, richte sie fertig ein, nutze sie und alles läuft einwandfrei. Die Nutzer können dann ja trotzdem noch andere Domains zum Verbinden verwenden. Sie müssen dann halt die Warnmeldung im FTP oder Mailprogramm wegklicken.



    MfG Christian

  • Naja, für Mail und FTP bin ich der einzige Nutzer (ev. kommen max. 2 dazu) aber ich bin halt ein "Perfektionist" ... Fehlermeldungen sind doof und ich probiere meistens solange rum bis ich das Ding weg habe. Kann natürlich in einem "Verrennen" enden (tut es sogar recht häufig)


    Werde mir die Sache mit der Subdomain wirklich nochmal durch den Kopf gehen lassen, im Moment ist es dafür aber viel zu heiss ^^



    Vielen Dank für deine tolle Unterstützung!

  • Hab das jetzt umgesetzt. Habe jetzt meine 2. Domain nochmal neu angelegt (war eh nichts drin). Wenn man da anstatt "in a separate Webspace" "In an existing Webspace" wählt klappt alles wie am Schnürchen -.-
    Hab die Adresse "admin@domain2.com" aber kann als Ein und Ausgangsserver die von Domain 1 und dem funktionierenden Zertifikat wählen.


    Hast Recht gehabt .... eigentlich recht simpel :)