SSL-Zertifikate aus dem Webhosting im zugehörigen Mailhosting nutzen - wie?

    Guten Abend in die Runde,


    wichtig ist mir eigentlich die Frage Nr. 2 wg. der SSL-Zertifikate unten - die anderen Fragen für mich lediglich um besser zu verstehen ...


    drei Fragen treiben mich als Neukunde um:

    ist das bei allen so, dass die Verwaltung des Webhosting und des Emailhostings in unterschiedlichen bzw. extra Fenstern stattfindet und man gar noch zurückspringen muss ins CCP um zw. dem einen und dem anderen hin- und herschalten zu können (außer man hat vom CCP aus gleich beide Fenster mittels Kontextmenü als extra Tabs im Hintergrund geöffnet)?

    Im Plesk, wie ich es bisher kenne, ist die Emailverwaltung ein Unterpunkt der Webhostingverwaltung und navigiert wird über das Seitenpaneel links oben.

    Was auch immer der Hintergrund für diese Struktur sein mag - sie ist für den anwendenden Kunden wirklich nicht als glücklich zu bezeichnend, umständlich und äußerst hinderlich für einen praktikablen Workflow.


    Bildschirmfoto 2024-04-24 um 19.47.19.pngBildschirmfoto 2024-04-24 um 19.47.45.pngBildschirmfoto 2024-04-24 um 19.48.01.png



    Frage zwei:

    SSL-Zertifikate: durch die vorerwähnte Trennung von Emails und Webhosting erscheinen - zumindest bei mir die im Webhosting erstellten - nicht bei den zugehörigen Emailzertifikaten - Ist das auch bei Euch so und wie löst Ihr das? - Zwar kann man im Webshosting - wie üblich, noch definieren, dass dieses Zertifikat, was die Domain schützt, auch noch seine schützenden Flügel über die Emails ausbreiten soll - nur woher weiß ich, dass es das auch tut? - Als Zertifikat im Mailhosting erscheint es durch die Bedienung des Knopfes zumindest nicht.


    Das Let's Encrypt Zertifikat aus dem Webhosting liegt nach dem Herunterladen im .pem Format vor - wie ich es verstehe eine Art Container für verschiedene Zertifikatsarten. Aber weder das kann ich im Bereich SSL/Emails hochladen (bzw. es wird nicht angenommen) noch die mittels CLI und "openssl" von pem nach crt umgewandelte Datei mag das Plesk fressen ... Alternativ kann Teil zwei, drei und vier des Inhaltes in der Zertifikatsverwaltung in die entsprechenden Felder reinkopiert werden - mit der Ausnahme des ersten Teils, den will er bei mir auch nicht.


    Hilfe!! - Noch so eine umständliche Geburt ... !! Wüsste ich es vom anderen Hoster nicht besser, würde ich das wohl so fressen - aber das kann doch nicht wirklich wahr sein?


    Frage/Anmerkung drei:

    regelmäßig nach gefühlten 30-45min (?) ist man aus dem CCP automatisch ausgeloggt. Ja, das hat einen Sicherheitsaspekt und ist gut und auch notwendig. - Nur wenn ich mal am WE mehrere Stunden an Aufbau, Verwaltung des Webhostings, der Einrichtung einer Nextcloudinstanz oder aber am Einrichten des hier angemieteten Servers bin, und zwischendurch irgendein Wert nachschauen will, dann ... ja große Scheibe!! - schon wieder rausgeworfen ... es nervt - Alternativ immer dran zu denken, versch. Hintergrundtabs mit einem Relaod bedenken zu müssen ... auch nicht prickelnd.


    Vielen Dank für Eure Unterstützung und Antworten!


    Beste Grüße, Hubertus

    Zitat von netzbub

    ist das bei allen so, dass die Verwaltung des Webhosting und des Emailhostings in unterschiedlichen bzw. extra Fenstern stattfindet

    Ja, weil es sich hier bei netcup um komplett verschiedene Server handelt. Einer für Web, einer für Mail und einer für Datenbank.


    Zitat von netzbub

    Frage zwei

    Meines Wissens nach kannst du beim Mailserver gar nichts an den Zertifikaten ändern. Wenn du als Hostnamen aber einfach mx[XXXX].netcup.net verwendest, sollte es keine Zertifikatswarnung geben.

    Ansonsten wäre auch die Frage, was du mit einem eigenen Zertifikat erreichen möchtest.

    Wenn es um Webmail geht, hatten wir das Thema erst vor kurzem: https://forum.netcup.de/netcup…-nach-migration-zu-plesk/


    Zitat von netzbub

    regelmäßig nach gefühlten 30-45min (?) ist man aus dem CCP automatisch ausgeloggt.

    Jap, kann deinen Frust verstehen. Eine Lösung kenne ich jedoch auch nicht.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 1 Danke 1

    Vielen Dank Dir für Deine Antworten zu meinen Fragen!

    Zitat von Virinum

    Ja, weil es sich hier bei netcup um komplett verschiedene Server handelt. Einer für Web, einer für Mail und einer für Datenbank.

    wie genau die die Verwaltungsstruktur hinter den Kulissen eines Providers aussehen, davon habe ich letztlich nur eine äußerst begrenzte Ahnung wenn überhaupt. - Und doch bin ich diesbzgl. immer gerne ein Verfechter der Devise, die Technik, die Politik, die Verwaltung ... etc.pp ... sollen sich dem Nujtzer anpassen und nicht umgekehrt. - Aber die Diskussion würde an dieser Stelle sicherlich zu weit oder ins unnötige Abseits führen.


    Zitat von Virinum

    Meines Wissens nach kannst du beim Mailserver gar nichts an den Zertifikaten ändern. Wenn du als Hostnamen aber einfach mx[XXXX].netcup.net verwendest, sollte es keine Zertifikatswarnung geben.

    Ansonsten wäre auch die Frage, was du mit einem eigenen Zertifikat erreichen möchtest.

    Wenn es um Webmail geht, hatten wir das Thema erst vor kurzem: https://forum.netcup.de/netcup…-nach-migration-zu-plesk/

    Das ist vielleicht auch ein Missverständnis -


    Nein, nicht mit einem selbstsignierten Zertifikat absichern, sondern normalerweise mit eben dem zur Domain gehörigen Let's Encrypt Zertifikat kann ich auch gleichzeitig den Mailverkehr verschlüsseln -


    Durch die Trennung von Webhosting und Mailhosting ist mir jedoch noch nicht klar, wie das funktionieren kann.


    Bisher habe ich - zumindest hier bei netcup - mir das Zertifikat im WCP heruntergeladen und dann das erhaltene *.pem Datei mit einem Code-Editor geöffnet und im Anschluss die zugehörigen Zertifikatsbestandteile im Bereich > WCP > Mailhosting > meine domain.de > Dashboard > SSL-Zertifikate > > SSl/TLS-Zertifikate hinzufügen > dann dort in die zugehörigen Zertifikatsfelder eingefügt., abgesichert und in Folge sind dann in den domainbezogenen Emaileinstellungen unten auch diese Zertifikate verfügbar um Webmail und Email per Zertifikat abzusichern.


    Deshalb die Frage: stimmt das so oder wie geht es evtl. noch etwas eleganter ...?


    Unglaublicher Haken ist für mich nur "der mit der rechten Hand am linken Ohr-gekratzte Aufwand" und dass ich nicht glauben mag, dass das im Sinne des Erfinders 'Plesk' oder aber 'netcup' ist.


    Zitat von Virinum

    Jap, kann deinen Frust verstehen. Eine Lösung kenne ich jedoch auch nicht.

    Ha! - Dann müssen wir uns schon nicht mehr ganz so alleine mit unserem Schmerz und Ärger fühlen ... ;o)


    - - - - - - - - - - - - - - - -


    01.png


    02.png


    03.png


    04.png

    Ich muss zugeben, dass ich die Einstellungsmöglichkeiten auf deinem letzten Screenshot noch nicht kannte. Ich habe gerade auch mal manuell ein Zertifikat für mail.meine-domain.de erzeugt und habe es so importiert wie auf deinen Screenshots.

    Anschließend habe ich es so zugewiesen wie auf deinem letzen Screenshot.


    Hier meine Beobachtungen:

    Die Einstellung für "SSL/TLS-Zertifikat für Webmail" hat keine Auswirkungen. Ich vermute das würde nur dann was bringen, wenn der Mail-Server auch das Webhosting ausliefern würde. Tut er aber nicht. Das macht ein anderer Server, der auf das Zertifikat natürlich keinen Zugriff hat.


    Die Einstellung für "SSL/TLS-Zertifikat für E-Mail" hat aber sehr wohl einen Effekt. Damit bekommt man keine Zertifikatswarnung mehr, wenn man sich z.B. über Port 465 oder mittels STARTTLS über Port 25 oder 587 mit mail.meine-domain.de verbindet. Das finde ich eigentlich eine coole Sache, wobei ich hier zum einen das Probleme sehe, dass man das Zertifikat immer manuell aktualisieren muss und zum anderen, dass es für die Sicherheit kein wirklicher Mehrgewinn ist, da man ja auch einfach mx[XXXX].netcup.net verwenden kann.


    Ich denke du machst dir hier unnötige Arbeit. Auch ohne ein eigenes Zertifikat werden Mails verschlüsselt (Vorausgesetzt beide Mail-Server einigen sich auf STARTTLS und es wird mx[XXXX].netcup.net als Hostname verwendet).

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 2 Danke 1
    Zitat von netzbub

    Frage/Anmerkung drei:

    regelmäßig nach gefühlten 30-45min (?) ist man aus dem CCP automatisch ausgeloggt.

    ich laß' den reload via bookmarklet * machen oder mit nem plugin z.b. "tab auto refresh".

    *

    Code
    javascript: (() => { reload_minutes=15; url='https://customercontrolpanel.de/start.php'; mywin=window.open(url,'ccp'); mytimer=setInterval(function(){mywin.location.href=url},60000*reload_minutes); })();
    • Neu

    Allerbesten Dank @Virinum wie auch @Olivetti !


    @Virinum - sehr logisch angegangen und natürlich dann sehr aufschlussreich Deine Schlussfolgerungen -

    Ich frage mich dann aber, warum diese Möglichkeiten im Plesk integriert sind, wenn sie 1.) keinen Mehrwert oder aber 2.) einfacher zu erreichen sind?


    Und: die 'unnötige Arbeit' mit dem Copy and Paste des Mailzertifikates musste ich beim alten Provider nicht machen. Dort konnte ich auf Grund des Umstandes, dass Web- und Mailhosting nicht getrennt waren, das im Webhosting generierte und sich auch automatisch dreimonatig erneuernde Let's Encrypt Zertifikat auch einmalig im Mailhosting einstellen und dann auch dauerhaft nutzen.

    Nun muss ich allerdings gestehen, dass ich, was Verschlüsselung, Zertifikate und Co angeht, nicht gerade der Fachmann schlechthin bin.


    Ich werde mich bzgl. des Mailzertifikates und der Wiederverwendung aus dem Webhosting wie ich es sonst aus dem Plesk kenne mal an den Support von Netcuo wenden und mal hören was die dazu sagen. Und dann hier auch wieder Rückmeldung geben -


    @Olivetti - wow, super! Das probiere ich gerade aus und ist 'latürnich' eine äußerst elegante Lösung!


    Und jetzt wird mir auch klar, was ich da seit vlt. 20 Jahren in meinen Bookmarks schlummern habe - Bookmarklets aus den frühen Anfängen ... 8) ...

    'page last modification' (sehr, sehr hilfreich)

    'scroll page (v. slow - v. fast)'

    'set window size XxY'

    'move and resize window halfscreen left side'

    'send URL via mail'

    usw.

    usf.

    • Neu

    beim pagereload, egal ob via bookmarklet oder plugin, gibt es trotzdem zwei bis drei wermutstropfen.


    1. es reloaded immer zur …/start.php (url=…), egal wo man vorher war.

    'location.reload()' funktioniert nicht wegen CORS (könnte man umgehen, aber dann wird's umfangreicher, als von mir gewollt).

    2. obiges 1. betrifft dann natürlich auch arbeiten am DNS, wo man sich evtl. länger ungespeichert aufhält.

    3. das aktuelle fenster/tab, in dem das bookmarklet aufgerufen wird, darf nicht geschlossen werden, weil darin der timer für das CCP-window/tab läuft.


    '2.' ist für mich deswegen kein problem, weil ich DNS-einstellungen eh' via API erledige.

    was aber immer funktioniert, ist, ein zweites ccp-tab aufzumachen und darin zu arbeiten.

    das erste ccp-fenster wird reloaded, und die session im zweiten ccp-fenster läuft dadurch ebenfalls nicht ab.

    alles leider krückenhaft, aber enten sind ja bekanntlich sehr anpassungsfähige admins. :S

    »Hauptsache BogoMIPS!«

    Fleischfresser

    8 Mal editiert, zuletzt von Olivetti ()

    Gefällt mir 1
    • Neu
    Zitat von netzbub

    Ich frage mich dann aber, warum diese Möglichkeiten im Plesk integriert sind, wenn sie 1.) keinen Mehrwert oder aber 2.) einfacher zu erreichen sind?

    Naja, es hat schon einen Mehrwert, wenn du unbedingt in deinen Mail-Clients mail.meine-domain.de verwenden willst und dabei keine Zertifikatswarnungen wegdrücken möchtest. Die eigene Subdomain im Gegensatz zu mx[XXXX].netcup.net ist aber nur kosmetisch. Sicherer wird's dadurch nicht.


    Also ich verstehe, wieso Plesk das eingebaut hat. Allerdings hält sich netcup nicht so wirklich daran, wie Plesk sich das Setup ursprünglich gedacht hat. Und dann hat netcup die Funktionen, die in ihrem Setup eigentlich unnötig sind, nicht vollständig ausgeblendet/deaktiviert.


    Ich würde dir empfehlen einfach die mx[XXXX].netcup.net überall zu verwenden und dich nicht mit eigenen Mail-Server-Zertifikaten rumzuschlagen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 1
    • Neu
    Zitat von Geheftet09

    Mal so als Frage, ist durch es den manuellen Übertrag des Zertifikats dann nicht auch möglich DANE per DNS über die TLSA Einträge umzusetzen?

    Ja, sollte gehen. Sofern du DNSSEC aktiviert hast. Und falls ja – hoffentlich nicht bei den Nameservern bei netcup.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*