smtp Zertifikat

K

koehne

Renowned Member
Sep 1, 2006
4
0
66
Hallo zusammen,

ich möchte gerne mit einem Mailserver einer bestimmten Domain die Emails verschlüsselt übertragen. Dafür benötige ich ja ein Zertifikat für die smtp-Verbindung (halt nicht API). Ich möchte dies nicht über ACME und Letsencrypt machen, sondern würde gerne ein Zertifikat kaufen.
Muss dazu nicht (wie ich es es sonst kenne) ein signing-request vom Server erzeugt werden, den ich beim Kauf des Zertifikats angebe und mir darauf hin das Zertifikat ausgestellt wird?
Oder wie sieht so ein Emailserverzertifikat aus? Muss man "nur" den Servernamen (logischer Weise nicht die Emaildomains) beim Kauf eines Zertifikats angeben und zusammen mit dem Passwort auf dem Proxmox hinterlegen?

Über eine kurze Info von Euch würde ich mich sehr freuen.

Gruß
Patrick
 
koehne said:
ich möchte gerne mit einem Mailserver einer bestimmten Domain die Emails verschlüsselt übertragen.
Click to expand...
Nur um vorweg die Definition ein wenig zu schärfen. Meiner Auffassung nach sprichst du hier von einer Transportverschlüsselung im allgemeinen. Hierbei wird die E-Mail selbst nicht verschlüsselt gespeichert, sondern nur die Kommunikation.

Du musst zwischen Transport und Inhaltsverschlüsselung unterscheiden.

koehne said:
nicht über ACME und Letsencrypt
Click to expand...
ACME selbst wird auch unabhängig von LE genutzt, wenngleich es auch dafür entwickelt wurde. Insofern ist ACME auch nicht direkt mit LE gleichzusetzen, den auch die bekannten CA nutzen das.

Welche Bedenken hast du denn generell gegen die Nutzung? Grundsätzlich bietet dir LE sogar eine größere Sicherheit als es z. B. ein gekauftes tut, da du das Zertifikat regelmäßig tauscht und es automatisiert passiert.

Ansonsten siehe https://forum.proxmox.com/threads/ssl-for-tls.82952/#post-365160

koehne said:
Muss dazu nicht (wie ich es es sonst kenne) ein signing-request vom Server erzeugt werden, den ich beim Kauf des Zertifikats angebe und mir darauf hin das Zertifikat ausgestellt wird?
Click to expand...
Nennt sich CSR und kannst du überall machen, es muss nicht zwangsläufig der Server sein. Oftmals bieten die großen auch direkt einen Generator dafür an.
 
Hi,
ja, natürlich ist Transportverschlüsselung gemeint.
Das mit dem LE muss ich mir irgendwann mal in Ruhe angucken. So habe ich erstmal ein Jahr Ruhe und läuft.

Ja, CSR, klar. Die letztere Frage war eigentlich die interessante.
Ich nehme mit, dass man bei einer Zertifikatbestellung in den Webformularen des Verkäufers meist selbst einen CSR erzeugen kann....
... und vor allem, dass der Proxmox das nicht macht, richtig?
Ich suchte nämlich nach einem Menüpunkt oder Knopf oder dergleichen dafür.

Gruß
Patrick
 
koehne said:
Das mit dem LE muss ich mir irgendwann mal in Ruhe angucken. So habe ich erstmal ein Jahr Ruhe und läuft.
Click to expand...
Da kann ich dir nicht folgen. Let's Encrypt richtest du in 5 Minuten ein und hast auf Ewigkeiten Ruhe weil alles im Hintergrund automatisch passiert und das Zertifikat ist und bleibt kostenfrei.

So brauchst du erst mal nen Private Key und ein CSR, brauchst einen Dienstleister bei welchem du für das Zertifikat bezahlst, das Verfahren ist ggf. mit dem manuellen Anlegen der DNS Records verbunden. Du musst dich dort registrieren und eine Zahlungsmethode hinterlegen. Alleine dafür wirst du 5 - 10 Minuten brauchen. Dann das Zertifikat über die GUI hochladen und darauf achten, dass man das Renew Date im nächsten Jahr nicht verpasst, weil sonst alles steht und keine E-Mails mehr versendet werden können.

Also kurzum, du möchtest dir jetzt keine 5 Minuten Zeit nehmen dafür, aber 5 - 10 Minuten hast du für ein gekauftes Zertifikat und auch im nächsten Jahr hast du den Blick dafür?

Ich bin ein Freund davon es einfach, effektiv und nachhaltig zu machen - dein beschriebener Weg ist es aus meiner Sicht ganz und gar nicht. Aber das musst du letztlich entscheiden.

Eine Ergänzung noch zu meinem vorherigen Beitrag, du kannst ein Custom Zertifikat nun auch direkt via GUI hochladen: https://pmg.proxmox.com/pmg-docs/chapter-pmgconfig.html#sysadmin_certificate_management

Das spart dann wieder etwas arbeitet, musst dich aber eben auch selbst um Renew und Monitoring kümmern.

koehne said:
... und vor allem, dass der Proxmox das nicht macht, richtig?
Click to expand...
Richtig, wäre mir nicht bekannt.
 
Du hast vermutlich recht. Ich probiere mal mit beidem über die GUI herum.
Habe mein Custom-Test-Zertifikat samt Chain hochgeladen bekommen.
Und, ja, habe gerade mal ohne Vorwissen einen ACME angelegt und anschließend noch zugesehen, dass ich Port 80 auf den Proxmox bekomme und ein zertifikat geordert. Funktioniert ebenfalls sofort!
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom