auto-config Apple funktioniert nicht

[Toorms]

Hallo,

du musst beachten dass dies nur ein Port 80 Vhost ist. Wenn hier Cloudflare noch irgendwas mit SSL macht wird es nicht funktionieren. Das Not Foudn spricht dafür, man wird ja auch sofort auf https umgelenkt, nur dafür gibt es keinen Vhost.

Wunderte mich darüber, da Alexander hier auch mit http(s) schrieb.

http(s)://autoconfig.<EINE DOMAIN AUF DEM SERVER>/
http(s)://autodiscover.<EINE DOMAIN AUF DEM SERVER>/
http(s)://autoconfig-apple.<EINE DOMAIN AUF DEM SERVER>/

Habe bei Cloudflare nun mal das Proxified rausgenommen (womit kein SSL mehr geforced wird) und warte mal ein paar Stunden und teste es dann erneut.

Macht es Sinn, die Autoconfigs auch per SSL abzudecken?

[Alexander]

Korrektur: ich meinte nur http.

[24unix]

Korrektur: ich meinte nur http.

Warum eigentlich?
Es sind sensible Informationen, und ich finde mehr als genug Beispiele mit https.

[Alexander]

Da für diese Domains kein Zertifikat vorliegt.

[24unix]

Da für diese Domains kein Zertifikat vorliegt.

Hmm, aber das könnte man doch ändern.
Wenn ein LE Cert angefordert wird, kann man doch die subdomains inkludieren, und dann die generierten Configs anpassen.
Ich nutze autoconfig selber nicht, aber als ich damals mal rumgespielt habe fand ich es schon strange, dass die kein https konnten.

[Ralph]

Warum eigentlich?

ist nicht so einfach alle Clients unter einen Hut zu bringen, da müßte mit Wildcard Cert für Aliase gebastelt werden und irgendwann gibts dann wieder eine kleine Änderung und alles war für die Katz
Besser wäre endlich mal eine Norm für alle Clients ohne dabei den Webserver verbiegen zu müssen und mit einem einzigen DNS Record

[24unix]

Warum eigentlich?

ist nicht so einfach alle Clients unter einen Hut zu bringen, da müßte mit Wildcard Cert für Aliase gebastelt werden

Wieso das?
Du kannst doch wenn Du domain.tld registrierst en passant
autoconfig.domain.tld
…
webmail.domain.tld
mit beantragen. Bis zu 100 pro cert.

[Ralph]

webmail.domain.tld
mit beantragen. Bis zu 100 pro cert.

Dann müssten quasi die auto configs in die jeweiligen Client Webfolder generiert und vor löschen geschützt werden (vorrausgesetzt LE bleibt aktiv und kein eigenes Domain Cert wird aktiviert). Auch für Kunden die externe Domain Anbieter bzw. eigene NS verwenden, wird das ziemlich aufwendig (incl. Provider Aufwand wg. der ganzen Infos zu den records).

[Toorms]

Würde das ganze über HTTPS auch begrüßen.

[24unix]

webmail.domain.tld
mit beantragen. Bis zu 100 pro cert.

Dann müssten quasi die auto configs in die jeweiligen Client Webfolder generiert und vor löschen geschützt werden (vorrausgesetzt LE bleibt aktiv und kein eigenes Domain Cert wird aktiviert). Auch für Kunden die externe Domain Anbieter bzw. eigene NS verwenden, wird das ziemlich aufwendig (incl. Provider Aufwand wg. der ganzen Infos zu den records).

Wieso das?

Jetzt wird für die Domain eine Datei generiert, in meinem Fall z.B. /etc/apache2/keyhelp/vhosts/tracer.conf.

Da sind dann der Reihe nach alles subdomains aufgelistet.
Einfach am Ende einen Block fur autoconfig (inkl. der aliase) und gut ist.

Edit:

Das ist die autoconfig.conf:

Code: Select all

<VirtualHost *:80>
    ServerName autoconfig
    ServerAlias autoconfig.* autodiscover.* autoconfig-apple.*
    ServerAdmin tracer@24unix.net
    SuexecUserGroup "keyhelp" "keyhelp"

    UseCanonicalName Off

    DocumentRoot /home/keyhelp/www/keyhelp/misc/emailconfig

    LogLevel warn
    CustomLog "${APACHE_LOG_DIR}/keyhelp/autoconfig.access.log" combined
    ErrorLog "${APACHE_LOG_DIR}/keyhelp/autoconfig.error.log"

    <FilesMatch \.php$>
        <If "-f %{REQUEST_FILENAME}">
            SetHandler "proxy:unix:/run/php/keyhelp_keyhelp.socket|fcgi://keyhelp_keyhelp.socket"
        </If>
    </FilesMatch>

    # Set some proxy properties (the string "unique-domain-name-string" should match
    # the one set in the FilesMatch directive.
    <Proxy fcgi://keyhelp_keyhelp.socket>
        ProxySet connectiontimeout=5 timeout=120
    </Proxy>

    # If the php file doesn't exist, disable the proxy handler.
    # This will allow .htaccess rewrite rules to work and
    # the client will see the default 404 page of Apache
    RewriteCond %{REQUEST_FILENAME} \.php$
    RewriteCond %{DOCUMENT_ROOT}/%{REQUEST_URI} !-f
    RewriteRule (.*) - [H=text/html]

    <Directory "/home/keyhelp/www/keyhelp/misc/emailconfig">
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

Da ist nichts kundenspezifisches, man müsste beim generieren halt checken, ob eine pem für die Domain existiert, und dann den für ssl relevanten Teil mit einbinden.

[Ralph]

Einfach am Ende einen Block fur autoconfig (inkl. der aliase) und gut ist.

Ja, es würde schon funktionieren ... die LE certs dafür dürfte der Kunde dann halt nicht löschen können usw. aber es bleibt eine Fummerlei, auch wg. der vielen Cert Updates, könnte das ganze instabil werden (incl. Apache Fehler) ... die Weiterleitungen bzw. das handling über den Hostname ist da schon weitaus stabiler.

[24unix]

Einfach am Ende einen Block fur autoconfig (inkl. der aliase) und gut ist.

Ja, es würde schon funktionieren ... die LE certs dafür dürfte der Kunde dann halt nicht löschen können

Das kann man im Panel je jetzt schon einstellen.

usw. aber es bleibt eine Fummerlei, auch wg. der vielen Cert Updates, könnte das ganze instabil werden (incl. Apache Fehler) ... die Weiterleitungen bzw. das handling über den Hostname ist da schon weitaus stabiler.

Ich bezweifle, dass 42 Zeilen (autoconfig.conf) die Apcahe config instabiler machen, die tracer.conf hat 2332 Zeilen …

[Henning]

Falls Du IPv6 aktiviert hast und nutzt, müssen auch bei den externen NS die AAAA records vorhanden sein

Da war Ralph schneller als ich...auf IPv6 wollte ich auch gerade hinweisen.
Wenn die IPv6 RR vorhanden sind, dann wäre eine Domainnennung sinnvoll, damit man das von extern mal checken kann.

Wenn ich mit Wildcards bei den A und AAAA Records arbeite, müsste das doch ausreichen, oder? Bei mir funktionieren die auto-configs auch nicht. Das liegt vermutlich aber daran, dass ich den Zwang auf https gelegt habe. Wenn die auto-configs aber ausschließlich http erwarten, wird es schwierig.

[Jolinar]

Wenn ich mit Wildcards bei den A und AAAA Records arbeite, müsste das doch ausreichen, oder?

Jupp.