Re: [Exim-users-de] Lösung: exim.crt und key

Αρχική Σελίδα
Delete this message
Reply to this message
Συντάκτης: Nicola Tiling
Ημερομηνία:  
Προς: Jutta Wrage
Υ/ο: exim-users-de
Παλιά Θέματα: [Exim-users-de] Lösung: exim.crt und key
Αντικείμενο: Re: [Exim-users-de] Lösung: exim.crt und key
MoinMoin

Die Letsencrypt client tools „dehydrated" oder „acme" würden diese Arbeit auch machen. Ich persönlich bevorzuge acme.
Voraussetzung ist das Du einen Nameserver oder Webserver hast der korrekt auf die letsencrypt Prüfungs-Anfrage antwortet. Aber das brauchst du ja immer. Nach der Erstinstallation läuft dann alles vollautomatisch über einen cronjob. Die LE Clients wissen wann ein Zertifikat zu erneuern ist und tun dies wenn das Ablaufdatum unter eine 30 Tage Grenze sinkt. Auch das Problem mit dem Eigentümer der Zertifikate/Keys läßt sich in den vorgesehenen Konfigurationseinstellungen lösen.

Beispiele hier sind aus FreeBSD, die Pfade werden für Debian Linux vermutlich nicht passen.

### Dehydrated: ###

Aus "config":
HOOK=/usr/local/etc/dehydrated/deploy.sh
PRIVATE_KEY_RENEW=„no"

Aus "domains.txt":
mail.meinedomain.de

Aus "deploy.sh":
deploy_cert() {
...
echo " + Hook: Change rights on /usr/local/etc/dehydrated/certs/mail.meinedomain.de"
chown mailnull:mailnull /usr/local/etc/dehydrated/certs/mail.meinedomain.de/*.*
service exim restart
}

Einmaliger erster Aufruf: /usr/local/bin/dehydrated --register --accept-terms
Dann "/usr/local/bin/dehydrated -c -g" ausführen

Exim: Symbolischer Link im Exim cert Verzeichnis:
mail.meinedomain.de.crt@ -> /usr/local/etc/dehydrated/certs/mail.meinedomain.de/fullchain.pem
mail.meinedomain.de.key@ -> /usr/local/etc/dehydrated/certs/mail.meinedomain.de/privkey.pem

Aus crontab:
/usr/local/bin/dehydrated -c -g 2>&1 >> /var/log/dehydrated.log


### Acme (mit LEtsencrypt Nameserver Prüfung): ###

Erstinstallation:
acme.sh -f --issue --home /var/db/acme/.acme.sh/ --dns dns_pdns mail.meinedomain.de #(für Webserver Prüfung "--dns dns_pdns“ durch "--use-wget“ ersetzen)
acme.sh --home /var/db/acme/.acme.sh/ \
--install-cert -d mail.meinedomain.de \
--cert-file /usr/local/etc/exim/ssl/mail.meinedomain.de.crt \
--key-file /usr/local/etc/exim/ssl/mail.meinedomain.de.key \
--fullchain-file /usr/local/etc/exim/ssl/mail.meinedomain.de.pem \
--reloadcmd "chown mailnull:mailnull /usr/local/etc/exim/ssl/mail.meinedomain.de.* & service exim restart"

Resultat: /var/db/acme/certs/mail.meinedomain.de/mail.meinedomain.de.conf:
Le_Domain='mail.meinedomain.de'
Le_Alt=‚no‘
...
Le_CertCreateTime='1622330797'
Le_CertCreateTimeStr='Sa. 29 Mai 2021 23:26:37 UTC'
Le_NextRenewTimeStr='Mi. 28 Juli 2021 23:26:37 UTC'
Le_NextRenewTime='1627428397'
Le_RealCertPath='/usr/local/etc/exim/ssl/mail.meinedomain.de.crt'
Le_RealKeyPath='/usr/local/etc/exim/ssl/mail.meinedomain.de.key'
Le_ReloadCmd='__ACME_BASE64__START_Y2hvd24gbWFpbG51bGw6bWFpbG51bGwgL3Vzci9sb2NhbC9ldGMvZXhpbS9zc2wvbWFpbGhvcC5zYWZlY29ubmVjdC5kZS4qICYgc2VydmljZSBleGltIHJlc3RhcnQ=__ACME_BASE64__END_‘
Le_RealFullChainPath='/usr/local/etc/exim/ssl/mail.meinedomain.de.pem‘

Aus Crontab:
/var/db/acme/.acme.sh/acme.sh --cron --home /var/db/acme/.acme.sh

Viele Grüße
Nicola


> Am 16.02.2020 um 15:32 schrieb Jutta Wrage via Exim-users-de <exim-users-de@???>:
>
> Hallo!
>
> Ich denke, es ist sinnvoll, zu schreiben, wie ich das Problem mit dem SSL-Key gelöst habe:
>
> Ein script in /usr/local/bin erstellt, daß im Letsencrypt-Verzeichnis auf einen neuen Key prüft und diesen bei Bedarf mit preserver-timestamps kopiert.
>
> Das ganze dann in cron.daily aufgerufen.
>
> Den Key ansehen kann man im Übrigen z. B. mit
>
> openssl x509 -text -noout -in /etc/exim4/exim.crt
>
> Da stehen dann unter anderem die Validity (von/bis) drin, der Herausgeber und die Namen der hosts, für die er gilt.
>
> Auf die Idee mit dem Script und dem Cronjob hat mich das Debian-Buch von Heike Jurzik gebracht.
>
> Wichtig: Der Eigentümer muß bei Debian Debian-exim sein. Und der private Key natürlich nicht weltweit lesbar.
>
> Etwas besseres ist mir ohne Veränderung der Rechte im Verzeichnisbaum von letscrypt nicht eingefallen.
>
> Gruß
>
> Jutta
>
>
> --
> http://www.witch.westfalen.de
>
>
> _______________________________________________
> Exim-users-de mailing list
> Exim-users-de@???
> https://lists.exim.org/mailman/listinfo/exim-users-de