KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

SSL für Admin-Interface

https://community.keyhelp.de/viewtopic.php?t=11409

Page 14 of 16

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:02
by goldene-zeiten
Dann würde ich gerne mich über ein funktionsfähiges FTPs freuen. Aber genau da bekomme ich immer den Fehler mit dem Zertifikat. Oder ist explizit die falsche Einstellung

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:03
by Tobi
Nimm lieber WinSCP statt Filezilla.
https://winscp.net/eng/docs/lang:de

In WinSCP heißen die Einstellmöglichkeiten exakt so wie in KeyHelp angezeigt.

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:18
by tab-kh
goldene-zeiten wrote: Tue 24. May 2022, 13:02 Dann würde ich gerne mich über ein funktionsfähiges FTPs freuen. Aber genau da bekomme ich immer den Fehler mit dem Zertifikat. Oder ist explizit die falsche Einstellung
Was steht denn im Keyhelp bei SSL/TLS-Zertifikate -> Serverdienste absichern -> FTP-Server?
Wird da "Let's-Encrypt-Zertifikat" angezeigt? Da gab es ja mit den anderen Diensten auch schon Probleme bei dir. Explizit ist schon richtig.

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:26
by goldene-zeiten
Bei allen Auswahlmöglichkeiten gleich und identisch das LE-Zertifikat:

Control Panel
Let's-Encrypt-Zertifikat

E-Mail-Server
Let's-Encrypt-Zertifikat

FTP-Server
Let's-Encrypt-Zertifikat

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:52
by Florian
Hallo,

es ist normal, dass Filezilla das Zertifikat beim ersten Login anzeigt. Das ist kein Fehler.

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 13:59
by Alexander
Zeig auch nochmal die Ausgabe dieses Befehls:

Code: Select all

ls -la /etc/ssl/keyhelp

Gern auch mal das Folgende Aufrufen und im Menü "6) Wartungsaufgaben starten" und dann "8) Wartung von SSL/TLS-Zertifikaten" wählen.

Code: Select all

keyhelp-toolbox

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:02
by goldene-zeiten
Aber ich kann es nicht als vertrauenswürdig einstufen. Sonst wäre das ja auch kein Problem. Dann würde ich es einfach beim ersten Mal als OK markieren. Demnach stimmen all meine Einstellungen wie sie sind? Beim Mail-Programm hingegen klappt ja alles. Da erscheint dieser Fehler/diese Warnung nicht.

Und nun scheint es auch noch ein kleines Problem (aber nur mit vereinzelten Absendern), was die Weiterleitung zu meiner Gmail-Adresse betrifft. Ich hatte heute schon 3 Absender, wo es Probleme gab. Während hingegen andere Adressen schon laufen:

Code: Select all

--
This is the mail system at host hyperbrain.hahnefeld.it.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<xyz@googlemail.com>: host
    gmail-smtp-in.l.google.com[2a00:1450:400c:c06::1b] said: 550-5.7.1
    [2001:8d8:1800:816c::1      12] Our system has detected that this 550-5.7.1
    message is likely unsolicited mail. To reduce the amount of spam sent
    550-5.7.1 to Gmail, this message has been blocked. Please visit 550-5.7.1
    https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1  for
    more information. m12-20020adfdc4c000000b0020d0b073a1bsi9355511wrj.105 -
    gsmtp (in reply to end of DATA command)
--

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:07
by goldene-zeiten
Alexander wrote: Tue 24. May 2022, 13:59 Zeig auch nochmal die Ausgabe dieses Befehls:

Code: Select all

ls -la /etc/ssl/keyhelp

Gern auch mal das Folgende Aufrufen und im Menü "6) Wartungsaufgaben starten" und dann "8) Wartung von SSL/TLS-Zertifikaten" wählen.

Code: Select all

keyhelp-toolbox

Code: Select all

--
root@hyperbrain:~# ls -la /etc/ssl/keyhelp
total 48
drwxr-xr-x 5 root    root    4096 May 22 20:44 .
drwxr-xr-x 5 root    root    4096 May 17 15:18 ..
drwx------ 2 keyhelp keyhelp 4096 May 17 15:18 files
lrwxrwxrwx 1 root    root      70 May 22 20:44 ftp-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/chain.pem
lrwxrwxrwx 1 root    root      73 May 22 20:44 ftp.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/complete.pem
lrwxrwxrwx 1 root    root      70 May 22 20:44 keyhelp-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/chain.pem
lrwxrwxrwx 1 root    root      73 May 22 20:44 keyhelp.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/complete.pem
drwx------ 6 root    root    4096 May 24 00:09 letsencrypt
lrwxrwxrwx 1 root    root      70 May 22 20:44 mail-ca.crt -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/chain.pem
lrwxrwxrwx 1 root    root      73 May 22 20:44 mail.pem -> /etc/ssl/keyhelp/letsencrypt/keyhelp/hyperbrain.hahnefeld.it/complete.pem
drwx------ 2 root    root    4096 May 17 15:18 pem
-rw------- 1 root    root    2358 May 17 15:18 root-ca.crt
lrwxrwxrwx 1 root    root      37 May 22 20:44 webmail-ca.crt -> /etc/ssl/keyhelp/files/default-ca.crt
lrwxrwxrwx 1 root    root      32 May 22 20:44 webmail.pem -> /etc/ssl/keyhelp/pem/default.pem
--
Das Wartungsmodul hatte ich schon mehrfach ausgeführt - auch gestern. Ohne Erfolg für das FTP-Zertifikat.

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:10
by goldene-zeiten
Merkwürdigerweise ist das nicht bei allen Mails so. Nur bei einigen - und die sind dummerweise wichtig. Für ein paar gute Tipps, das Problem noch in den Griff zu bekommen, wäre ich sehr dankbar ;)!

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:10
by Florian
Hallo,

ja Stichwort SPF, ist bei Weiterleitungen immer ein Problem, daher sollte man Weiterleitungen auch nur sparsam einsetzen.

Abhilfe kann hier die Installation von PostSRS schaffen.

Ferner steht Google auch ungemein auf DKIM und DMARC

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:12
by goldene-zeiten
Florian wrote: Tue 24. May 2022, 14:10 Hallo,

ja Stichwort SPF, ist bei Weiterleitungen immer ein Problem, daher sollte man Weiterleitungen auch nur sparsam einsetzen.

Abhilfe kann hier die Installation von PostSRS schaffen.

Ferner steht Google auch ungemein auf DKIM und DMARC
SPF habe ich gesetzt in der Zone. Und es ist ja kein generelles Problem sondern vereinzelte Absender. Aber bei denen systematisch, egal wie oft sie schicken...

Es gilt hier dabei um den SPF der Original-Absender-Domain. Kommt die z.B. von web.de gilt der SPF von dieser Domain und web.de erlaubt es nunmal Deinem Server nicht Mails im namen dieser Domain zu senden

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:12
by Florian
Und Dein FTP Server leifert das LE Zertifikat korrekt aus, zumindest wenn ich die Domain aus der Konfig übernehme

Code: Select all

openssl s_client -connect hyperbrain.hahnefeld.it:21 -starttls ftp
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = hyperbrain.hahnefeld.it
verify return:1
---
Certificate chain
 0 s:CN = hyperbrain.hahnefeld.it
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = hyperbrain.hahnefeld.it

issuer=C = US, O = Let's Encrypt, CN = R3

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:14
by goldene-zeiten
Florian wrote: Tue 24. May 2022, 14:12 Und Dein FTP Server leifert das LE Zertifikat korrekt aus, zumindest wenn ich die Domain aus der Konfig übernehme

Code: Select all

openssl s_client -connect hyperbrain.hahnefeld.it:21 -starttls ftp
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = hyperbrain.hahnefeld.it
verify return:1
---
Certificate chain
 0 s:CN = hyperbrain.hahnefeld.it
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = hyperbrain.hahnefeld.it

issuer=C = US, O = Let's Encrypt, CN = R3
aber bei der Domian "hahnefeld.it" sieht es schon anders aus.

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:16
by Florian
SPF habe ich gesetzt in der Zone. Und es ist ja kein generelles Problem sondern vereinzelte Absender. Aber bei denen systematisch, egal wie oft sie schicken...
Es gilt hier dabei um den SPF der Original-Absender-Domain. Kommt die z.B. von web.de gilt der SPF von dieser Domain und web.de erlaubt es nunmal Deinem Server nicht Mails im namen dieser Domain zu senden

Re: SSL für Admin-Interface

Posted: Tue 24. May 2022, 14:17
by Florian
Hallo,
aber bei der Domian "hahnefeld.it" sieht es schon anders aus.
Ja das ist logisch, das Zertifikat gilt nunmal nur für hyperbrain.hahnefeld.it SNI gibt es hier nicht.
All times are UTC+02:00
Page 14 of 16

Powered by phpBB® Forum Software © phpBB Limited