nach Hostname umstellung kein Zertifikat [GELÖST]

[KnechtRootRecht]

Nachdem ich noch einige PRobleme mit MAilservern hatte, dachte ich mir ich stelle nachträglich den Hostnamen auf panel.domain.de um.
Das default -Cert und Rename-Operation werden angezeigt unter den Zertifikaten.

Habe auch den A-Record im DNS eingetragen von der Subdomain und per Keyhelp das Zertifikat für die Domain "includeSubdomains" erstellen lassen.
LEider steht im im Log nichts von panel.domain.tld, nur www.domain.tld

Wie bekomme ich jetzt auf dem Hostnamen wieder SSL?

im Rename-Operation ist das CA leer:

CA-Zertifikat
- Diese Komponente ist nicht hinterlegt. -

[Alexander]

Im Beschreibungs-Text zur Hostnamen-Änderung steht eigentlich alles erklärt, was passiert:

Hostname *
Hier können Sie den Hostnamen dieses Servers und damit die Domain ändern, über die Sie auf das Administrationspanel zugreifen können.
Um einen reibungslosen Übergang zwischen einer Aktualisierung des Hostnamens zu gewährleisten, werden Ihre Let's Encrypt-Zertifikate, die zum Schutz von Serverdiensten verwendet werden, auf ein vorläufiges selbstsigniertes Zertifikat umgestellt. Sobald Ihr neuer Hostname vollständig auflösbar ist, können Sie über die SSL/TLS-Zertifikatsverwaltung wieder zu Let's Encrypt wechseln.
Ein Backup aller geänderten Konfigurationsdateien finden Sie unter „/home/keyhelp/keyhelp.backup/before_hostname_change/“.
Bitte beachten Sie: Benutzerdefinierte DNS-Einstellungen werden nicht geändert!

Auf der SSL/TLS-Zertifikatsverwaltung ist oben rechts ein Button "Serverdienste absichern".

[KnechtRootRecht]

Hallo Alexander, danke für die Antwort. Was genau muss ich bei den verschiedenen Dropdowns einstellen?

[Alexander]

Aufgeführt sind alle Zertifikate, die auf dem Server vorhanden sind.

Entweder wählst du aus den Vorhandenen ein Zertifikat aus, welches entsprechend auf 'panel.domain.de' ausgestellt wurde, oder 'Let's Encrypt'.

[KnechtRootRecht]

Hallo Alexander,
Irgendwie habe ich das Gefühl das es noch nicht so ganz rund läuft.
Es wird weiterhin das default mit dem alten Hostnamen und das Rename angezeigt. Im Log sehe ich zwar das was gemacht wird von den Zertifikaten, wird in der Übersicht trotzdem nicht angezeigt.
Habe auch in allen Mailprogrammen das Problem das dem selbst-signierten Zertifikat nicht vertraut wird.
Habe im DNS (extern) auch eine Subdomain "mail" welche auf den Server zeigt. Diese auch in die Hosts eingetragen. Wie bekomme ich es jetzt hin das diese auch mit im Zertifikat inbegriffen ist?

[Alexander]

Es wird weiterhin das default mit dem alten Hostnamen und das Rename angezeigt. Im Log sehe ich zwar das was gemacht wird von den Zertifikaten, wird in der Übersicht trotzdem nicht angezeigt.

Das sich bei "Webmail-Subdomains" kein Let's Encrypt auswählen lässt ist normal. Für diese Domains existiert in der Regel kein eigener vHost im Apache, somit sind diese auch nicht Teil eines Zertifikats. Unter "Konfiguration" -> "Webmail" lässt sich einstellen, was beim Aufruf einer solchen Domain passieren soll.
Webmail-Subdomain ungleich E-Mail-Server.

Habe auch in allen Mailprogrammen das Problem das dem selbst-signierten Zertifikat nicht vertraut wird.

Das diesen nicht vertraut wird ist normal, aber bei deinem Server ist Let's Encrypt ausgewählt und sofern das beziehen das Zertifikats sauber durchlief ist auch alles okay. Ggf. leif das Beziehen des Let's Encrypt Zertifikats nicht sauber durch. Was sagt der Log.

Sollte es korrekt bezogen werden, ggf. einmal prüfen ob die Symlinks im folgenden Verzeichnis alle auch auf das Let's Encrypt Zertifikat zeigen.

Code: Select all

/etc/ssl/keyhelp

Falls ja, ggf. alle betroffenen Dienste für Mail, FTP, Webserver neu starten / Ggf. Server-neustart um sicherzugehen, das die aktuelle Konfiguration geladen wird.

Das sollte alles nicht notwendig sein, sofern das Zertifikat korrekt bezogen wurde.

[KnechtRootRecht]

Es wird weiterhin das default mit dem alten Hostnamen und das Rename angezeigt. Im Log sehe ich zwar das was gemacht wird von den Zertifikaten, wird in der Übersicht trotzdem nicht angezeigt.

Das sich bei "Webmail-Subdomains" kein Let's Encrypt auswählen lässt ist normal. Für diese Domains existiert in der Regel kein eigener vHost im Apache, somit sind diese auch nicht Teil eines Zertifikats. Unter "Konfiguration" -> "Webmail" lässt sich einstellen, was beim Aufruf einer solchen Domain passieren soll.
Webmail-Subdomain ungleich E-Mail-Server.

Habe auch in allen Mailprogrammen das Problem das dem selbst-signierten Zertifikat nicht vertraut wird.

Das diesen nicht vertraut wird ist normal, aber bei deinem Server ist Let's Encrypt ausgewählt und sofern das beziehen das Zertifikats sauber durchlief ist auch alles okay. Ggf. leif das Beziehen des Let's Encrypt Zertifikats nicht sauber durch. Was sagt der Log.

Sollte es korrekt bezogen werden, ggf. einmal prüfen ob die Symlinks im folgenden Verzeichnis alle auch auf das Let's Encrypt Zertifikat zeigen.

Code: Select all

/etc/ssl/keyhelp

Falls ja, ggf. alle betroffenen Dienste für Mail, FTP, Webserver neu starten / Ggf. Server-neustart um sicherzugehen, das die aktuelle Konfiguration geladen wird.

Das sollte alles nicht notwendig sein, sofern das Zertifikat korrekt bezogen wurde.

SSL Wartungslog:

Code: Select all

[01-Apr-2020 09:43:02] INFO  --> starting ssl certification maintenance
[01-Apr-2020 09:43:02] INFO  --> checking (normal) SSL/TLS certificates
[01-Apr-2020 09:43:02] INFO  --> check certificate "[ID 2]"
[01-Apr-2020 09:43:02] INFO  --> certificate name is "Rename Operation 2020-03-30 14:59:07"
[01-Apr-2020 09:43:02] INFO  --> certificate is valid until 2030-03-28 13:59:07 (3648 days left)
[01-Apr-2020 09:43:02] INFO  --> checking lets encrypt certificates
[01-Apr-2020 09:43:02] INFO  --> remove unused accounts / certificates
[01-Apr-2020 09:43:02] INFO  --> check domain "werkzeugkiste24-7.de'
[01-Apr-2020 09:43:02] INFO  --> certificate is valid until 2020-06-12 09:55:34 (72 days left)
[01-Apr-2020 09:43:02] INFO  --> check domain "www.werkzeugkiste24-7.de'
[01-Apr-2020 09:43:02] INFO  --> certificate is valid until 2020-06-18 13:19:11 (78 days left)
[01-Apr-2020 09:43:02] INFO  --> check domain "werkzeugkiste247.de'
[01-Apr-2020 09:43:02] INFO  --> certificate is valid until 2020-06-12 09:55:53 (72 days left)
[01-Apr-2020 09:43:02] INFO  --> check domain "panel.werkzeugkiste24-7.de'
[01-Apr-2020 09:43:02] INFO  --> certificate is valid until 2020-06-29 10:52:21 (89 days left)
[01-Apr-2020 09:43:02] INFO  --> finished

/etc/ssl/keyhelp:

Code: Select all

drwx------ 2 keyhelp keyhelp 4096 Mär 30 17:33 files
lrwxrwxrwx 1 root    root      73 Apr  1 09:43 ftp-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/chain.pem
lrwxrwxrwx 1 root    root      76 Apr  1 09:43 ftp.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/complete.pem
lrwxrwxrwx 1 root    root      73 Apr  1 09:43 keyhelp-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/chain.pem
lrwxrwxrwx 1 root    root      76 Apr  1 09:43 keyhelp.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/complete.pem
drwx------ 4 root    root    4096 Mär 31 11:52 letsencrypt
lrwxrwxrwx 1 root    root      73 Apr  1 09:43 mail-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/chain.pem
lrwxrwxrwx 1 root    root      76 Apr  1 09:43 mail.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/panel.werkzeugkiste24-7.de/complete.pem
drwx------ 2 root    root    4096 Mär 30 15:00 pem
-rw------- 1 root    root    2358 Mär  4 12:55 root-ca.crt
lrwxrwxrwx 1 root    root      28 Apr  1 09:43 webmail-ca.crt -> /etc/ssl/keyhelp/root-ca.crt
lrwxrwxrwx 1 root    root      65 Apr  1 09:43 webmail.pem -> /etc/ssl/keyhelp/pem/panel.werkzeugkiste24-7.de_5e81ed1bd268d.pem

[KnechtRootRecht]

die "mail" Subdomain hatte ich für den Mailserver (für die Emailprogramme) angelegt, nicht fürs webmail.

[Alexander]

Dein Zertifikat ist in Ordnung.

Wie auch unter der E-Mail Übersichtsseite unter "Verbindungsdaten" angegeben, muss als Server dein Hostnamen verwendet werden. Andere Namen sind nicht vom Standard-Let's-Encrypt-Zertifikat nicht abgedeckt, sprich: "panel.werkzeugkiste24-7.de".

Es steht dir natürlich frei ein eigenes Zertifikat zu verwenden (vorher auf der TLS/SSL-Seite 'Zertifikat hinzufügen'), welches dann auch "mail.panel.werkzeugkiste24-7.de" abdeckt und über die TLS/SSL-Seite für den E-Mail-Server zu übertragen.

[KnechtRootRecht]

Dein Zertifikat ist in Ordnung.

Wie auch unter der E-Mail Übersichtsseite unter "Verbindungsdaten" angegeben, muss als Server dein Hostnamen verwendet werden. Andere Namen sind nicht vom Standard-Let's-Encrypt-Zertifikat nicht abgedeckt, sprich: "panel.werkzeugkiste24-7.de".

Es steht dir natürlich frei ein eigenes Zertifikat zu verwenden (vorher auf der TLS/SSL-Seite 'Zertifikat hinzufügen'), welches dann auch "mail.panel.werkzeugkiste24-7.de" abdeckt und über die TLS/SSL-Seite für den E-Mail-Server zu übertragen.

vielen dank nochmal. ich bin halt etwas verwirrt weil in der Übersicht die beiden Zertifikate:
"default" & "Rename..." noch drin stehen und default auf den alten generischen Hostnamen zeigt. Im Rename ist der Punkt "CA-Zertifikat" auch leer.
Aber dann lass ich das jetzt mal so und versuche es bei den Mailclienten erstmal mit dem Hostname.