Mailcow Let's Encrypt funktioniert nicht

  • Hallo,


    leider habe ich bei meiner Mail Kuh das Problem, dass keine Let's Encrypt Zertifikate erstellt werden. Es wird immer nur das Standard Zertifikat verwendet, welches selbst signiert ist. Hier https://mailcow.github.io/mail…ized-docs/firststeps-ssl/ habe ich auch schon alles durchprobiert. Leider ohne Erfolg. Muss ich sonst das vorhandene Zertifikat löschen, damit ein neues ausgestellt wird?

  • Läuft mailcow vllt hinter einem Reverse Proxy?


    In dem Fall evtl. die Zertifikate selbst requested z.B. mit achme.sh und anschließend zu mailcow rüberschieben und die entsprechenden Container restarten ??

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.

    Die Logs zeigen folgendes:

    Code
    26.5.2019, 00:49:57    Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
    26.5.2019, 00:49:57    Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
    26.5.2019, 00:49:57    Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
    26.5.2019, 00:49:57    Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
    26.5.2019, 00:49:57    Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
    26.5.2019, 00:49:57    Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
    26.5.2019, 00:49:53    OK
    26.5.2019, 00:49:05    Detecting IP addresses...
    26.5.2019, 00:49:05    Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
    26.5.2019, 00:49:05    Using existing domain key /var/lib/acme/acme/key.pem
  • Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.

    Die Logs zeigen folgendes:

    Code
    26.5.2019, 00:49:57    Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
    26.5.2019, 00:49:57    Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
    26.5.2019, 00:49:57    Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
    26.5.2019, 00:49:57    Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
    26.5.2019, 00:49:57    Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
    26.5.2019, 00:49:57    Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
    26.5.2019, 00:49:53    OK
    26.5.2019, 00:49:05    Detecting IP addresses...
    26.5.2019, 00:49:05    Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
    26.5.2019, 00:49:05    Using existing domain key /var/lib/acme/acme/key.pem

    In den Logs steht ja eigentlich schon ganz genau wo der Hund begraben liegt: Im obersten Ordner deiner Mailcow (z.B. /opt/mailcow-dockerized) liegt eine Datei mailcow.conf (ist glaube ich ein Symlink zu einem docker-compose file)

    In mailcow.conf gibt es eine Zeile "SKIP_LETS_ENCRYPT" welche bei dir auf Y gestellt ist. Also wird Let's Encrypt nicht verwendet. Stelle die Zeile auf "N" und nach einem

    Code
    docker-compose down
    docker-compose up -d

    sollte ein Zertifikat mit Let's Encrypt erstellt und von Mailcow verwendet werden.


    Viele Grüße

    marpri

  • Code
    Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)

    Hier liegt wohl das Problem. Das hatte ich aber selbst noch nie und konnte auf Anhieb auch keine klare Ursache finden. Ein Anfang wäre, die Issues auf GitHub dazu durchzugehen und zu schauen, ob einer der dort gemachten Vorschläge für Dich funktioniert: https://github.com/mailcow/mai…q=is%3Aissue+NO_IPV6_LINK

    Scheinbar könnten z.B. eigene IPTables-Regeln oder UFW eine Ursache für das Problem sein.

  • Es gibt zwei Konfigurations-Parameter, die hier Abhilfe schaffen können. Wichtig dabei ist anzumerken, dass das eigentliche Problem damit evtl. nur umgangen, aber nicht behoben wird.

    Code
    # Skip IPv4 check in ACME container - y/n
    SKIP_IP_CHECK=y
    
    # Skip HTTP verification in ACME container - y/n
    SKIP_HTTP_VERIFICATION=y

    Den ersten Parameter bzgl. IP_CHECK benötige ich z.B., da die Mailcow hinter Cloudflare betrieben wird und daher für manche Domains die im DNS hinterlegte Adresse nicht zur echten passt. Außerdem kann das nötig sein, wenn die Mailcow in einem LXD-Container liegt, da sie dann nur eine interne IP sieht.

  • Das ist des Rätsels Lösung. Problem ist scheinbar, dass bei mir die IPv6 config unter /etc/network/interfaces.d/50-cloud-init.cfg

    auf

    Code
    auto eth0:1
    iface eth0:1 inet6 static

    statt

    Code
    auto eth0
    iface eth0 inet6 static

    steht.


    Leider erhalte ich bei der Änderung der config einen Fehler beim Restart des Netzwerkes und die V6 Adresse wird gar nicht gebootet.

  • Ich sehe gerade, dass in deinen Logs nur steht, dass du SKIP_LETS_ENCRYPT=y benutzen kannst. Daher ist mein Vorschlag von weiter oben natürlich in deinem Fall nicht zielführend, sorry. Habe ich heute Nacht um halb 2 wohl nicht gecheckt :S