Zentyal Forum, Linux Small Business Server

International => German => Topic started by: mb-wh on April 11, 2016, 09:49:21 am

Title: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 11, 2016, 09:49:21 am
Hallo zusammen,
ich habe schon nach diesem Problem gesucht, aber irgendwie bin ich zu keinen Ergebnis gekommen.

Kann mir jemand sagen, wie ich ein offizielles Zertifikat einspielen kann?

Vielen Dank!

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: Nnik-nbg on April 13, 2016, 11:15:42 am
Hi Michael,
Ich denke mal du hast schon probiert, das Zertifikat über das Web-Frontend zu laden?


Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 13, 2016, 12:08:48 pm
Ja, aber man kann ja keines importieren, oder doch?

Ich habe zumindest nichts gefunden zum importieren.

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 17, 2016, 10:25:26 am
Guten Morgen zusammen,

da sich ja sonst keiner meldet, scheint das entweder keinen zu stören, oder es weiß niemand etwas.
Es gibt ja diesen Forumseintrag.

https://wiki.zentyal.org/wiki/Zarafa_Setup_with_Outlook_Thunderbird_Sync (https://wiki.zentyal.org/wiki/Zarafa_Setup_with_Outlook_Thunderbird_Sync)

Leider bezieht sich dies auf die ältere Version von zentyal.
Hat jemand von euch eine Ahnung ob das eventuell mit ein paar Änderungen gehen könnte?

Danke und Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: roswitina on April 18, 2016, 03:56:48 pm
Kennst du diesen Beitrag --> https://forum.zentyal.org/index.php?topic=24513.0 (https://forum.zentyal.org/index.php?topic=24513.0) ?

Rosi
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 19, 2016, 08:08:37 pm
Hallo Rosi,

ja den Beitrag habe ich gesehen. Habe es versucht auszuführen, aber leider hatte sich danach die AdminWebsite nicht mehr gestartet und ich musste alles neu installieren.
Liegt vieleicht an meinen schlechten Englisch- und Linuxkenntnissen.

Auf Deutsch wäre natürlich super und am besten sollte es dann auch noch funktionieren.

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: Nnik-nbg on April 21, 2016, 08:12:06 am
Hi,
tut mir leid, dass ich jetzt nicht weiterhelfen kann, da ich gerade kein Test-System zum selber ausprobieren habe .. Wenn du dich etwas mit der kommandozeile auskennst, sollte es sich allerdings verhindern lassen, dass du alles neu installieren musst. Wenn nicht, scheint es leider etwas schwierig zu werden :/ ich werde es bei meinen Installationen sicherlich auch mal absichern wollen durch ein richtiges Zertifikat, da ich mich aber derzeit eher mit der Zentral Cloud Lösung (Zinc) beschäftige, hab ich leider keine Zeit das auf Standard-Zentyal zu probieren.

Grüße
Jannik
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 21, 2016, 02:08:58 pm
Hallo Jannik,

danke für Deine Antwort.
Ich habe eben noch einmal versucht die vorherige Anleitung stück für stück durchzugehen.
Jetzt funktioniert zwar die webadmin-Seite, aber das Zertifikat ist leider nicht drin. Ich meine mein richtiges.

Also leider noch ohne Erfolg.

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: Nnik-nbg on April 25, 2016, 10:56:40 pm
sag mal wäre für dich nicht eventuell auch noch eine Option, das Zentyal-System als "Authority" zu behalten und das Zertifikat mit GPO auf deine Clients zu verteilen? Das hab ich zwar praktisch auch noch nicht gemacht, müsste aber auch klappen.
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on April 26, 2016, 04:15:23 pm
sag mal wäre für dich nicht eventuell auch noch eine Option, das Zentyal-System als "Authority" zu behalten und das Zertifikat mit GPO auf deine Clients zu verteilen? Das hab ich zwar praktisch auch noch nicht gemacht, müsste aber auch klappen.

Ja schon, aber das ist ja eigentlich nicht das, was man wirklich möchte. Es wäre schön, wenn man ohne Zertifikatsfehler "Webmail", "Outlook" und auch ActiveSync nutzen könnte. Ich verstehe nicht, warum das nicht vorgesehen ist.
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: Nnik-nbg on May 12, 2016, 09:46:05 am
achso,
was mir noch eingefallen ist: unter /etc/ocsmanager liegt dein .pem Zertifikat. Das wird sowohl von den outlook clients als auch von Webmail verwendet. Dieses musst du ja eigentlich nur austauschen. Theoretisch könntest du das sogar mit Let's encrypt machen, wenn dein Server auch über das Internet erreichbar ist. Es gibt eine Anleitung von DigitalOcean. Ich habe das einmal mit HAProxy probiert und dieser erwartet auch ein SSL-Zertifikat im Format .pem. Da sind dann alle einzelnen Zertifikate vorhanden. Also du benötigst ja domain.de sowie Autodiscover.domain.de oder halt ein Willard Zertifikat wie *.domain.de. Sicher doch einfach das alte Zertifikat mal weg und lad deins rein, mach einen Apache reload und schau was passiert. Schau auch, dass auf dem Zertifikat die richtigen Berechtigungen gesetzt sind und schau auch in die Logs wenn es zu beginn nicht gleich funktioniert
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on May 25, 2016, 04:21:32 pm
Hallo Nnik-nbg,

ich habe das mal mit meinem Zertifikat versucht, aber das Ersetzen ändert leider nichts. Es bleibt weiterhin das bisherige Zertifikat der Zertifizierungsstelle drin.

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: segelfreak on June 11, 2016, 04:59:00 pm
Moin zusammen,

also mir ist es gelungen, Fremdzertifikate über die Stubs einzubinden.

Dazu ändert man die Konfigurationsvorlagen (.mas) im Verzeichnis /usr/share/zentyal/stubs/...

Beispiel Mail:

Da gibt es z.B. im Unterverzeichnis mail die main.cf.mas
Diese Datei überschreibt mit jedem Neustart/Reload dies Moduls die /etc/postfix/main.cf

Dort werden die Variablen my $certFile und my $keyFile definiert.

Da ich mit let's encrypt arbeite, sieht die dann ungefähr so aus:

my $certFile = '/etc/letsencrypt/live/##domain###/fullchain.pem';
my $keyFile = '/etc/letsencrypt/live/##domain###/privkey.pem';

##domain### müsst ihr natürlich mit dem korrekten Pfad austauschen.

in der dovecot.conf.mas gibt es entsprechend diese Einträge
ssl_cert=</etc/letsencrypt/live/##domain###/fullchain.pem
ssl_key=</etc/letsencrypt/live/##domain###/privkey.pem

Achtet auf die spitze Klammer!

Openchange hat die apache-ics-manager.conf.mas
Hier gibt es drei Zeilen
SSLCertificateFile /etc/letsencrypt/live/##domain###/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/##domain###/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/##domain###/fullchain.pem

Damit sollte das wichtigste abgedeckt sein.
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: mb-wh on July 18, 2016, 09:18:38 am
Hallo segelfreak,

das hört sich ja gut an.
ich werde es übernächste Woche mal angehen und ausprobieren.
Werde dann berichten.

Gruß
Michael
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: segelfreak on August 21, 2016, 11:34:44 am
und, hat's geklappt?
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: BerT666 on September 02, 2016, 10:19:58 am
Gestern (mit Certbot, sonst wie im Post von Segelfreak beschrieben) umgestellt.
Bis jetzt keine Probleme, die nächsten Zentyal Updates werden zeigen, ob alle Änderungen bleiben.
Reboot-fest ist die Lösung jedenfalls ;-)

Gruß

Thomas
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: segelfreak on January 14, 2017, 07:25:25 pm
Gestern (mit Certbot, sonst wie im Post von Segelfreak beschrieben) umgestellt.
Bis jetzt keine Probleme, die nächsten Zentyal Updates werden zeigen, ob alle Änderungen bleiben.
Reboot-fest ist die Lösung jedenfalls ;-)

Gruß

Thomas

Das neue Modul Update für Mail killt die Zertifikatseinstellungen, weil neue stubs eingespielt werden. Musste einfach wieder die Pfade neu setzen. Fertig.
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: hans01 on December 19, 2017, 01:00:45 pm
Hallo, wenn man ein Certificat bei Zentyal 5.0 (sogo) einbringen möchte, welches File muss man da bearbeiten?

/etc/Zentyal/stubs/openchange/apache-ocsmanager.conf.mas ... gibt es nicht mehr!
Title: Re: HILFE! Wie kann ich ein offizelles StartSSL- Zertifikat einbinden
Post by: Neustradamus on January 18, 2021, 06:20:49 am
Since my first ticket for Let's Encrypt support: https://github.com/zentyal/zentyal/issues/1836 (it has been closed by Zentyal Team).

I have created a second ticket for Let's Encrypt support which has been closed by Zentyal Team too.

I have created a third ticket for Let's Encrypt support, can you like, comment on it?
- https://github.com/zentyal/zentyal/issues/2015