ComputerBase Menü
Aktuelles

Apache Webserver - Zertifikat ungültig (Hostname stimmt nicht überein)

I

IceHawk66

Ensign
Registriert
Apr. 2012
Beiträge
142
Guten Abend,

ich habe neue Zertifikate auf meinem Debian Server eingebunden (von startssl.com) und bekomme nun bei mailserver checks diese Warnung bzw. diesen Fehler:

nXsiRNI.png

Auch im Mail-Programm kommt die Meldung: "Die Identität von smtp.mydomain.de kann nicht überprüft werden" .... "Dieses Zertifikat ist ungültig (Hostname stimmt nicht überein)".

Kann mir dabei jemand helfen?

Danke im vorraus.
 
Wahrscheinlich weil du für domain.tld ein Zertifikat hast, nicht aber für smtp.domain.tld.
 
Du brauchst ein *.domain Zertifikat (Wildcardzertifikat)
 
Ah ok.

Gibt es solche Wildcardzertifikate auch kostenlos bzw. sehr kostengünstig wie bei startssl?

Ich schaue gerade, ob das bei startssl irgendwo geht, aber habe bislang nichts gefunden.
 
Muss leider sagen, dass es mir dann (noch) nicht wert ist, soviel Geld für einen privaten Mailserver auszugeben. Ich vertraue meinem Mailserver ja selbst und bei einigen Checks kam heraus, dass die Mails auch mittels TLS 1.2 und AECDH-AES256-SHA verschickt werden. Oder bringt mir das Zertifikat noch andere Vorteile?
 
Es sagt das es tatsächlich von dieser Emailaddy (domain) kommt. Zertifikat asugestellt für diese Domain etc.
Hast du versucht ein kostenloses Zertifikat auf smtp.domain auszustellen?
 
Ich habe mydomain.de genommen und dann musste ich während der Registrierung eine Subdomain auswählen (mail.mydomain.de hab ich dann genommen, weil das die des Webinterfaces des Mailserver ist und gleichzeitig Posteingangsserver ist)
 
Mal so nebenbei, es ist eigentlich vollkommen egal was du bei IMAP/POP/SMTP-Server einträgst, hauptsache der Server reagiert korrekt auf die Ports und mail./imap./smtp.domain.tld löst auf die gleiche IP auf (der Mail-Server darf natürlich dann nicht Host-basierend reagieren). Von daher kannst du im Thunderbird einfach nur domain.tld angeben, dann klappt das auch mit der Gültigkeit des SSL-Zertifikats und brauchst keinen Wildcard-Blödsinn oder ein Zweites o.ä.
 
Nun ja, ein Vorteil absolut korrekter Verschlüsselung wäre durchaus denkbar: Andere Mailserver könnten dann verschlüsselt mit deinem kommunizieren.

Insgesamt: Kein Apache-Problem sondern eines des Mailservers (z.B. Postfix, Courier, Dovecot,...). Wenn das Gratis-Cert von StartSSL bereits auf domain.tld und mail.domain.tld eingerichtet wurde (übrigens: ziemlich komisch. normalerweise nimmt man www. als Subdomain. Macht sonst bei Besuchern der Seite gelegentlich Probleme), dann muss man Cert&Key natürlich auch im Mailserver einrichten, nicht nur im Apache.
 
@Yuuri: Ich weiß nicht, ob ich das richtig verstehe, aber wenn ich die Domains mit ping -a mail.domain.de oder smtp.domain.de anpinge, kommt immer die selbe IP. Ich habe jetzt mal Testweise statt smtp.domain.de mail.domain.de eingetragen, dann werde ich vom Mail Programm gefragt: "Mail möchte mit dem Schlüssel "www.startssl.com" Ihres Schlüsselbundes signieren" (Das scheint dann ja geklappt zu haben). Allerdings bekomme ich immer noch den Fehler bei dem Online-Mailserver check (siehe Screenshot im ersten Post).

Was mich wundert: Unter "Hostname/IP Address" steht mail.domain.de.domain.de (also aneinander) und dadrunter steht dann die IP des Servers. Woher kommt der Wert? Ich habe das Gefühl, da ist was falsch.

@Daaron: Zertifikat habe ich im Dovecot, Postfix und Apache eingebunden.
 
Zuletzt bearbeitet:
Natürlich ist da was falsch. Dein MX Record ist wahrscheinlich irgendwie bekloppt gesetzt. Mach die Probe aufs Exempel und schau nach, wie genau der MX Record definiert ist. Für Linux kann man dafür wunderbar das Tool "dig" einsetzen,
z.B. "dig computerbase.de mx"
;; ANSWER SECTION:
computerbase.de. 3555 IN MX 10 mail.computerbase.de.
 
MX passt, hatte das eig gestern gestestet, dann konnte ich keine mails mehr verschicken oder empfangen. Läuft aber jetzt.

Allerdings wird mir immer noch angezeigt, dass das Root-Zertifikat unbekannt sei.

Edit: Bei einem anderen Mailserver sieht das so aus (ist auch von startssl glaub ich):

89883208a4.png

bei mir so:
dd186d63dd.png
 
Zuletzt bearbeitet:
Allgemein irgendwo oder bei jedem Programm einzelnd (Postfix, Apache, Dovecot)?

Ich habe folgende Dateien:

csr.pem + privkey.pem (selbst erstellt mittels: "openssl req -nodes -new -newkey rsa:2048 -out csr.pem")
ca.pem, ssl.crt, startssl zertifikat.p12, sub.class1.server.ca.pem (von startssl bekommen)

Ich weiß nicht genau, wie ich die einbinden soll.

Edit:
Habe es nun mit folgendem Tutorial gelöst: https://gerritbeine.com/blog/2014/02/21/postfix-und-dovecot-mit-startssl-zertifikaten/

Falls jemand auf ein ähnliches Problem stoßen sollte und das Tutorial abarbeiten, ein kleiner Hinweis:

cat private/server.crt startssl/sub.class2.server.ca.pem > private/server_with_chain.pem
Zum Vergrößern anklicken....

Am Ende ist das nicht server_with_chain.pem sondern .crt
Weiterhin sah die Datei bei mir in der Mitte so aus:
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
Zum Vergrößern anklicken....

Da ging dann gar nichts mehr, nachdem ich nach 5x "-" nach END CERTIFICATE einen Zeilenumbruch gemacht habe und danach postfix und dovecot neugestartet hatte, lief es.

Danke an alle, die mir hier so viel geholfen haben!!!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rexus
Apache2 Webserver von extern nicht erreichbar
Antworten
8
Aufrufe
4.366
Nixdorf
Nixdorf
MetalForLive
Sophos XG redirected Proxy und Lets Encrypt SSL Zertifikat
Antworten
17
Aufrufe
8.237
kallii
K
S
Warum jede Internetseite per HTTPS (SSL/TLS) verschlüsselt sein sollte
Antworten
19
Aufrufe
3.201
chrigu
chrigu
Riseofdead
Apache2 von Grund auf neu einrichten (einige Fragen)
Antworten
5
Aufrufe
1.773
sdwaroc
S
Wolfenstein77
zertifikat problem mit outlook 2003
Antworten
0
Aufrufe
1.052
Wolfenstein77
Wolfenstein77
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz