[SOLVED] Zertifikate über API - Nicht über tls?

MSP1978 · Feb 10, 2022

Guten Abend Zusammen,

ich habe jetzt schon eine Weile meinen PMG im Einsatz und bin extrem zufrieden mit dem Ergebniss, danke an das Team welches diese tolle Software erstellt und an alle die hier so tollen Support leisten!

Ich habe heute für meine Domains im DNS DMARC aktiviert, und habe danach einen Test über https://www.checktls.com/TestReceiver gemacht.
Hierbei bin ich dann über eine Merkwürdigkeit gestolpert beim Testergebniss:


     SSLVersion in use: TLSv1_3
        Cipher in use: TLS_AES_256_GCM_SHA384
        Perfect Forward Secrecy: yes
        Certificate #1 of 1 (sent by MX):
        Cert VALIDATION ERROR(S): self signed certificate
        So email is encrypted but the recipient domain is not verified
        Cert Hostname DOES NOT VERIFY (mail.mydomain.org != *.mydomain.de)
        (see RFC-2818 section 3.1 paragraph 4 for info on wildcard ("*") matching)
        So email is encrypted but the host is not verified

Ich nutze eigentlich Lets Encrypt mit der Hetzner-API, das klappt auch.
Mich wundert nur dieser Hinweis hier, da ich ja eigentlich Lets Encrypt nutze und hier wird dann das selbst Erstellte Zertifikat verwendet.
Ich habe das selbst erstellte dann gelöscht, hierbei hat PMG dann in den Einstellungen TLS deaktiviert.
Aktiviere ich TLS wieder, so wird wieder ein eigenes Zertigikat erstellt...

Somit habe ich nun 2 Zertifikate, aber wie schaffe ich es dass nur 1 Zertfikat genutzt wird?
Es existieren
pmg-api.pem --> Alle Domain am PMG sind hier enthalten, Lets Encrypt
pmg-tls.pem --> Nur 1 Domain und selber erstellt

Gruss,
Michael

djheiks · Feb 11, 2022

Hallo Michael,

pmg-api.pem = Zertifikat für Webinterface und API, pmg-tls.pem ist das Zertifikat was der Postfix für TLS nutzt.
Somit ist das Testergebnis völlig ok. Du musst also das pmg-tls Zertifikat anpassen/ändern.

gruss Heiko

Stoiko Ivanov · Feb 11, 2022

djheiks said:
pmg-api.pem = Zertifikat für Webinterface und API, pmg-tls.pem ist das Zertifikat was der Postfix für TLS nutzt.

genau - sollte (wenn auch etwas knapp) in der Referenzdoku beschrieben sein:

https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#sysadmin_certificate_management

um mit der ACME implementierung in PMG ein Zertifikat für beides zu erstellen, einfach bei der Domain unter usage SMTP und API auswählen
(GUI->Certificates->Certficates->ACME)

MSP1978 · Feb 11, 2022

Stoiko Ivanov said:
genau - sollte (wenn auch etwas knapp) in der Referenzdoku beschrieben sein:

https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#sysadmin_certificate_management

um mit der ACME implementierung in PMG ein Zertifikat für beides zu erstellen, einfach bei der Domain unter usage SMTP und API auswählen
(GUI->Certificates->Certficates->ACME)

Ah Danke!

Da muss man erst einmal drauf kommen, dass man in dem Drop-Down Menü API UND SMTP auswählen kann... Die Doku gibt das ja auch nicht her an der zitierten Stelle.
Es hat jetzt alles geklappt, vielen, vielen Dank!

Gruss,
Michael

Stoiko Ivanov · Feb 11, 2022

MSP1978 said:
Es hat jetzt alles geklappt, vielen, vielen Dank!

Freut zu lesen

- bitte den Thread noch als 'SOLVED' markieren (über dem ersten Post auf 'Edit Thread' und dort dann SOLVED als prefix auswählen) - das hilft Anderen, die ähnliche Fragen haben.

Danke!

MSP1978 · Feb 16, 2022

Stoiko Ivanov said:
Freut zu lesen - bitte den Thread noch als 'SOLVED' markieren (über dem ersten Post auf 'Edit Thread' und dort dann SOLVED als prefix auswählen) - das hilft Anderen, die ähnliche Fragen haben.

Danke!

Hallo Stoiko,

sorry für die Verspätung, ist jetz Solved

Gruss,
Michael

Search

Search

[SOLVED] Zertifikate über API - Nicht über tls?

MSP1978

Member

djheiks

Member

Stoiko Ivanov

Proxmox Staff Member

MSP1978

Member

Stoiko Ivanov

Proxmox Staff Member

MSP1978

Member