webmail.domaim gibt Zertifikat fehler

[Viktor]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja/Nein

Server-Betriebssystem + Version
Debian 11.8 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
Keine

KeyHelp-Version + Build-Nummer
23.2.1 (Build 3125)

Problembeschreibung / Fehlermeldungen
https://webmail.v-gn.com/ ungültiges Sicherheitszertifikat

Erwartetes Ergebnis
Ja das alles klappt.

Tatsächliches Ergebnis
ungültiges Sicherheitszertifikat.
Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Schritte zur Reproduktion
Meine Seite https://webmail.v-gn.com/ aufrufen.

Zusätzliche Informationen

Hallo,

ich habe in Keyhelp -> Konfiguration -> Webmail -> Aufgerufenen Domainnamen beibehalten ausgewählt.

Leider bekomme ich dann die Fehlermeldung.

In der "error.log" sehe ich das:

Code: Select all

[Sun Nov 12 00:00:17.671458 2023] [ssl:warn] [pid 140112:tid 139767911656768] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Sun Nov 12 00:00:17.671582 2023] [ssl:error] [pid 140112:tid 139767911656768] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=debian.v-gn.com,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=debian.v-gn.com,OU=KeyHelp Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 489F28911475F4E6C59126127D688EA19E6CA4D8 / notbefore: May  5 20:06:32 2021 GMT / notafter: May  3 20:06:32 2031 GMT]
[Sun Nov 12 00:00:17.671589 2023] [ssl:error] [pid 140112:tid 139767911656768] AH02604: Unable to configure certificate webmail:443:0 for stapling

Er nimmt das Defalut Zertifikat von Keyhelp und nicht das vom Let's-Encrypt.

Jetzt habe ich in Keyhelp -> SSL/TLS-Zertifikate -> Serverdienste absichern geschaut:

Bei "Control Panel" steht Let's-Encrypt-Zertifikat.
Bei "E-Mail-Server" steht Let's-Encrypt-Zertifikat.
Bei "FTP-Server" steht Let's-Encrypt-Zertifikat.
Bei "Webmail-Subdomain" steht "default" und ich kann nes nicht auf Let's-Encrypt-Zertifikat ändern.

In der Datei "etc/apache2/keyhelp/webmail.conf" steht:

Code: Select all

    SSLCertificateFile /etc/ssl/keyhelp/webmail.pem
    SSLCertificateChainFile /etc/ssl/keyhelp/webmail-ca.crt

Die Zertifikate sind verlinkt mit "/etc/ssl/keyhelp/pem/default.pem" und "/etc/ssl/keyhelp/files/default-ca.crt".

Was muss ich machen das er das richtige Serverzertifikat "debian.v-gn.com" nimmt.

Gruß
Viktor

[Florian]

Hallo,

wurde schon oft diskutiert und es wird sicher auch mal eine Änderung bei den Webmail Subdomains geben, bis dahin kannste es so einrichten wie hier beschrieben via mod_proxy:

viewtopic.php?p=38131#p38131

[Viktor]

Hallo,

wurde schon oft diskutiert und es wird sicher auch mal eine Änderung bei den Webmail Subdomains geben, bis dahin kannste es so einrichten wie hier beschrieben via mod_proxy:

viewtopic.php?p=38131#p38131

Hallo,

Danke für die Info.

Gruß
Viktor

[tab-kh]

Hmm, die Fehlermeldung kommt mir bekannt vor. Ich bekomme die auch täglich. Allerdings ist bei mir unter Konfiguration->Webmail weiterhin die Default-Einstellung "Weiterleitung" ausgewählt. Es gibt auf dem Debian 12 Server mit aktuellem Keyhelp kein Postfach, weshalb ich da auch sicher keine Webmail aufrufe. Das ist mein erster Testserver mit Debian 12. Oder liegt es vielleicht gerade am Fehlen jeglicher Maildomains? Die Uhrzeit ist auch verdächtig, sieht also eher nach einem daily Cronjob oder sonstigen Wartungsarbeiten des Systems aus (logrotate?). Bei den anderen Servern mit Debian 11 habe ich das nicht.

Upps, dachte ich jedenfalls, habe ich da aber auch in der /var/log/apache2/error.log, nur dass logwatch es mir da nicht anzeigt. Insofern gehe ich mal davon aus, dass man damit leben kann, ging ja bisher auch.

Code: Select all

[Fri Dec 29 06:24:58.742675 2023] [ssl:warn] [pid 646:tid 139829598914432] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Fri Dec 29 06:24:58.742784 2023] [ssl:warn] [pid 646:tid 139829598914432] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Fri Dec 29 06:24:58.742883 2023] [ssl:error] [pid 646:tid 139829598914432] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=info@keyhelp.de,CN=dev2.tabserver.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / issuer: emailAddress=info@keyhelp.de,CN=dev2.tabserver.de,OU=KeyHelp Control Panel,O=KeyHelp,L=Erfurt,ST=Thuringia,C=DE / serial: 2C97799A96BDD8DFFDC980F2DBE8C7DC3726CCD8 / notbefore: Dec 11 21:33:18 2023 GMT / notafter: Dec  8 21:33:18 2033 GMT]
[Fri Dec 29 06:24:58.742893 2023] [ssl:error] [pid 646:tid 139829598914432] AH02604: Unable to configure certificate webmail:443:0 for stapling
[Fri Dec 29 06:24:58.761041 2023] [mpm_event:notice] [pid 646:tid 139829598914432] AH00489: Apache/2.4.57 (Debian) mod_fcgid/2.3.9 OpenSSL/3.0.11 configured -- resuming normal operations
[Fri Dec 29 06:24:58.761073 2023] [core:notice] [pid 646:tid 139829598914432] AH00094: Command line: '/usr/sbin/apache2'

[Florian]

Hallo,

die Meldung ist normal, weil für die Webmail Subdomain standardmäßig das selbstsignierte Zertifikat von Keyhelp aktiv ist