[Eisfair] Apache certs_dehydrated Problem nach Reboot

Marcus Roeckrath marcus.roeckrath at gmx.de
Mo Mai 22 08:29:19 CEST 2017 

Hallo Dirk,

Dirk Alberti wrote:

> Bei Ausführung des "Update smtp certificates for exim" in "Mail addon
> certificates" habe ich plötzlich eine nicht mehr funktionierende
> /var/certs/ssl/certs/******.no-ip.biz.pem
> Sieht so aus:
> 
>   Certificate:
>      Data:
>          Version: 3 (0x2)
>          Serial Number:
>              03:3e:e4:77:ff:71:b3:6f:ce:4d:00:91:26:bc:31:c2:bb:16
>      Signature Algorithm: sha256WithRSAEncryption

Ganz normal, wenn vom Server *****.no-ip.biz das Serverzertifikat abgerufen
wird.

Nur nicht normal ist, damm man sein eigenes Zertifikat anfordert.

Stell Dir vor jemand ruft von außerhalb Dein Serverzertifikat ab und ihm
wird auch der Private-Part übermittelt; der gehört allein in Deine Hände.

> Und Apache startet nicht.

Der lokale Apache will halt alles in einer Datei.

> Führe ich das Setup von certs_dehydrated aus sieht danach die
> /var/certs/ssl/certs/******.no-ip.biz.pem so aus:
> 
> -----BEGIN RSA PRIVATE KEY-----
> .
> .
> .
> .
> Hier steht dann der Key
> .
> .
> .
> 
> -----END RSA PRIVATE KEY-----
> -----BEGIN DH PARAMETERS-----
> .
> .
> .
> und so weiter, so wie es sein soll...

Wie im anderen Post geschrieben, brauche ich die genannten Infos, um
festzustellen, wieso mail-addon-certs dieses lokale Zertifikat anfordert:

- Ist ***.no-ip.biz als SMTP-Smarthost definiert?
- Log von mail-addon-certs
 
> Also scheint da beim Update der SMTP-Zertifikate wirklich was nicht zu
> stimmen.

Das arbeitet korrekt und eine Aktualisierung des Zertifikats auf der
Kommandozeile mittel certs-request-cert (certs-Paket - nichts anderes
bemüht auch mail-addon-certs - hätte exakt den gleichen Effekt.

Bitte beantworte obige Fragen, damit wir den genauen Ablauf feststellen
können.

Ist es ein Konfigurationsfehler im Mail-Paket oder eine mögliche
Konfiguration, die wir dann aber an anderer Stelle abfangen müssen.

> Oder vielleicht liegt noch irgendwo was altes, von den mit Certs selbst
> erstellten Zertifikaten rum, was da fälschlicherweise übernommen wird.

Wenn ich obige Infos sehe, kann man mehr sagen.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair