MTA-STS wäre in dem Fall auch einfach zu implementieren; die DNS-Einträge per CNAME und nur ein vHost im Apache, welcher den MTA-STS Host des neutralen FQDN im Subject CN hat und die anderen MTA-STS Hosts in den SANs des SSL-Zertitifkates;
(so hab ich das gemacht)
Muss das ein neutraler FQDN sein, oder kann ich eine der vorhandenen Domains nehmen? Z.B. die derm hostname entspricht?
ich mein das was ich geschrieben habe ...
Ich habe keine Datei sslcert.crt. Ist das die cert.pem? Mit dieser Datei erhalte ich wieder den Record, der mit dem fingerprint Script erzeugt wurde und der mit
*._tcp TLSA 3 1 1
im DNS eingetragen wurde. Allerdings sind die hexadezimalen Buchstaben nun Großbuchstaben, das sollte keine Rolle spielen.
Meinst du das Kommando aus Schritt 2 der Anleitung? Dort wird ja der 2.1.1 Satz erzeugt. Reklamiert wird der 3.1.1 Satz. Beide sind richtig im DNS eingetragen. Für meine anderen Domains klappt das auch.
Ich habe DANE Records für meine Let's Encrypt Domains erzeugt. Bei der Prüfung auf https://dane.sys4.de/ wird DNSSEC, TLSA und SMTP grün dargestellt. Gehe ich jedoch auf "Show Details", so erhalte ich die Meldung: 3, 1, 1 bafc737adac74c18[...]0efd0a1eb5c7e62d - certificate not trusted: (27) - certificate not trusted: (27)Der 2,1,1.... Record ist offenbar in Ordnung. Was kann ich tun?
