Webmail-Subdomain und LE-Cert [GELÖST]

[Jolinar]

Ich habe mir in den letzten Tagen mal ein paar Gedanken zu dem bereits mehrfach geäußerten Wunsch gemacht, die Webmail-Subdomain automatisch mit einem LE-Cert zu versorgen.
Ich hab mir dafür auf meinem privaten Mailserver zwar eine funktionierende Lösung gebastelt, allerdings würde ich es natürlich schöner finden, wenn Keyhelp das OOTB mit anbieten könnte.
Mit der aktuellen Umsetzung der Webmail-Subdomain ist eine automatische Absicherung nicht ohne Weiteres möglich, da ein Zertifikat für max. 100 (Sub-)Domains ausgestellt werden kann und wenn eine KH-Instanz viele (>100) Domains verwaltet, würde das nicht funktionieren.

Deshalb habe ich mir einen anderen Ansatz überlegt und möchte ihn gern zur Diskussion stellen.
Da meine Idee allerdings ein paar Umbauten an der Logik des Panels erfordern würde, müßte neben der Frage, ob die Idee sinnvoll ist, auch erstmal die Machbarkeit seitens der Dev's geprüft werden.

Die Idee ist zweigeteilt:
1. Das Panel bietet systemweit nur noch die Standard-URL https://<Panel-FQDN>/webmail/ als Standardzugang an. Die automatische Generierung der Webmail-Subdomain würde wegfallen.
2. Beim Anlegen einer Domain bekommt man (z.B. über eine Checkbox) die Möglichkeit, daß eine Webmail-Subdomain mit angelegt wird, die dann ganz normal wie jede selbst angelegte Subdomain mit einem LE-Cert abgesichert werden kann. Hier könnte man dem User vielleicht noch entgegenkommen, indem man ihm die Möglichkeit gibt, den Namen der Subdomain (webmail, mail, whatever) selber zu vergeben.

Wie gesagt, es ist nur eine Idee bzw. ein möglicher Lösungsansatz...Deswegen die Fragen an die Dev's und die Community:
a) Wäre das (ohne zu großen Aufwand) technisch umsetzbar?
b) Ist die Idee in der Form überhaupt sinnvoll?

Wie immer freue ich mich über alle Meinungsäußerungen (positiv als auch negativ^^).


BTW:
Beim Schreiben ist mir grad so durch den Kopf gegangen, daß man das dann ja mit der DB-Administration genauso handhaben könnte...

[Tobi]

Ich habe schon seit Jahren einen SSL-Proxy in KeyHelp angelegt. Damit rufe ich das Roundcube meines E-Mail-Providers unter meinem Namen auf.
Funktioniert problemlos und bedarf keinerlei Wartung. Einmal angelegt funktioniert es.
Aktuell bin ich am Handy daher muss ich Details nachliefern. Aber ich weiß sicher, dass auch andere User diese Lösung bereits verwenden .
Und im u.g. Forum findet sich die komplette Lösung inkl. Anleitung zum Selbstbau bereits jetzt .

[Jolinar]

Ich habe schon seit Jahren einen SSL-Proxy in KeyHelp angelegt.

Danke für den Denkanstoß!
Die Variante hatte ich noch garnicht im Blick. Hab es grad mal auf meiner Testmaschine probiert, webmail.domain.tld als Subdomain angelegt, die entsprechenden Apache-Direktiven eingetragen:

Code: Select all

<IfModule mod_proxy.c>
        ProxyPass /.well-known/acme-challenge !
</IfModule>

Alias /.well-known/acme-challenge /home/keyhelp/www/.well-known/acme-challenge

SSLProxyEngine On
ProxyPass / https://<Panel-URL>/webmail/
ProxyPassReverse / https://<Panel-URL>/webmail/

Am CLI noch das Apache-Modul aktiviert:

Code: Select all

a2enmod proxy_http

und es funktioniert!

Wenn man jetzt noch Alex dazu motivieren könnte, die Idee aus dem Startpost (Option zum Anlegen einer Webmail-Subdomain beim Anlegen einer Domain) umzusetzen, dann würde Keyhelp das OOTB bereitstellen können, ohne daß man die Subdomain mit den Apache-Direktiven manuell anlegen müßte (was ja meine ursprüngliche Intention ist).

[Tobi]

Gut gemacht Großer .

Mir persönlich wäre es wichtiger wenn der Server zur Administration beispielsweise unter:
admin.server.tld
erreichbar wäre und der Mailserver als
imap.server.tld, pop3.server.tld und smtp.server.tld

Das wäre fein

[Jolinar]

Mir persönlich wäre es wichtiger wenn der Server zur Administration beispielsweise unter:
admin.server.tld
erreichbar wäre und der Mailserver als
imap.server.tld, pop3.server.tld und smtp.server.tld

Ich denke, du meinst das hier -> Konfigurierbare System URLs
Vielleicht könnte man ja meine Idee mit deinem Wunsch nach weiteren System-URLs verbinden...