Let’s Encrypt SSL Zertifikate für unterschiedliche Mail Domains in ISPConfig
Richtige Let’s Encrypt SSL Zertifikate für jede Postfix Mail Domain in ISPConfig ist, sofern ich es richtig interpretiere, ein recht ausgiebig diskutiertes Thema.
Ich bin heute mal auf einen komischen Gedanken gekommen, und finde eine – mehr oder weniger (eher weniger) – sinnvolle Lösung dafür gefunden zu haben.
Wie schon in einem meiner vorherigen Posts ispconfig 3.1 + Lets Encrypt + Postfix / Dovecot + PureFTPD, beschrieben, kann man sich die Tatsache, dass ISPConfig auf vieles nur einen SymLink setzt und dann nur noch per Cron die Zertifikate an den Certbot zur erneuerung schickt, auch bei meinem Gedanken zur Nutze machen.
Wenn euer Setup, bzgl. dem Server Zertifikat für Postfix so aussieht wie ich es im oben genannten Blog Post beschrieben hatte, dann wird es ein recht einfaches Spiel. Lasst mich aber erst meine Theorie erklären.
Was im Hintergrund passiert
Was also ISPConfig macht, wenn Ihr eine neue Seite erstellt ist, dass es via Let’s Encrypt ein Zertifikat anfordert, und sofern die DNS Records korrekt sind, ist die neue Seite anschließend problemlos via https erreichbar.
Im Hintergrund prüft ISPConfig ob euer Zertifikat erstellt wurde, und falls ja, dann setzt ISPConfig einen symbolischen Link von /etc/letsencrypt/live/eure-domain.tld/cert… nach /var/www/eure-domain.tld/ssl/cert… und setz anschließend die korrekten werte in die Apache Virtual Host config und startet Apache einmal neu.
Diese Weise hatte ich mir auch zu nutze gemacht, um für mein ISPConfig Interface, für Postfix und für PureFTPD ein gültiges Zertifikat auszuliefern. Um genau das zu erledigen, muss man zunächst eine Seite für euren Hostname in ISPConfig erstellen, damit Let’s Encrypt das Zertifikat dazu liefert.
Hier die Idee
Die Tatsache, dass man mit ISPConfig auch Alias Domains erstellen kann, bringt einem auch zu der Tatsache, dass Let’s Encrypt mehrere Domains in ein Zertifikat packt wenn man via Alias Domains den gleichen Content unter unterschiedlichen domains ausliefern möchte. Na? Klingelt es jetzt? Nee? Gut, dann weiter lesen
Um ein gültiges Zertifikat für euren Hostname zu bekommen, erstellt Ihr euren Hostname als Seite in ISPConfig und setzt die entsprechenden SymLinks (Wie im o.G. Blog Post beschrieben). Also liefert Postfix das Zertifikat für den Hostname aus. Als Beispiel: host.eure-domain.tld.
Jetzt kommt Kunde A, hat die Domain kunde-a.com und würde gerne aber mail.kunde-a.com in seine Mail Clients eintragen, ohne nervige Zertifikats-Warnung. Um das zu lösen, kannst du in ISPConfig einen Alias auf deinen Hostname setzen. Kann so aussehen:
- Domain: mail.kunde-a.com
- Parent Website: host.eure-domain.tld
- Redirect Type: No redirect
- Redirect Path: (leer)
- Auto-Subdomain: None
- SEO Redirect: No redirect
Jetzt auf Speicher klicken. Vorausgesetzt der Kunde hat einen A / AAAA DNS Eintrag auf mail.kunde-a.com gesetzt, wird diese Domain in euer Hostname Zertifikat eingetragen. Da Postfix das gleiche Zertifikate ausliefert, wird dem Mail Client ein Zertifikat präsentiert, indem:
- host.eure-domain.tld
- mail.kunde-a.com
aufgelistet sind, und damit kann euer Kunde A auch die domain mail.kunde-a.com in sein Thunderbird oder Outlook oder Android eintragen, ohne Zertifikats-Warnung zu erhalten.
Das Problem mit dieser Herangehensweise
Das Problem springt einem hier schon fast in’s Gesicht. Ganz Genau. Wenn ihr 20 Kunden habt, dann liefert genau das Zertifikat, welches ihr für das ISPConfig Interface nutzt, welches ihr für PureFTPD nutzt und welches Ihr für Postfix & Dovecot nutzt, alle Domains aus die da eingetragen wurden. Das kann wiederum zu Problemen beim Datenschutz führen. Ich bin mir auch sicher, dass Kunden einfach nicht wissen sollten wen ihr denn da noch so alles auf eurem Web-Space als Untermieter habt.
Ich selber würde es nicht machen. Wie sieht es bei euch aus? Machen die Kunden da mit? Ich denke weniger. Lasst mich in den Kommentaren, via Twitter oder Facebook wissen was ihr davon haltet.