Öffentl DNS Eintrag für Server der auf die Öffentliche IP verweist für Zertifikat

[Cheeseman 1]

Hallo. Ich möchte gerne für Mailstore ein öffentliches Zertifikat verwenden. Das wäre hier in dem Fall das kostenlose Let´s Encrypt. 

Jetzt habe ich sowas noch nie gemacht. Wie gehe ich denn hier vor, also wie mache ich diesen Eintrag. Wäre die öffentliche IP dann sicherlich die WAN Adresse? 

[NilsK 2.968]

Moin,

 

ein TLS-Zertifikat hat mit einer IP-Adresse nichts zu tun. Es soll ja bestätigen, dass der DNS-Name der richtige ist.

 

Let's Encrypt ist ein vollautomatisiertes Verfahren für TLS-Zertifikate. Unterstützt Mailstore das denn? Wenn nicht, wirst du das nicht nutzen können, jedenfalls nicht ohne größeren Entwicklungsaufwand.

 

Gruß, Nils

 

[Cheeseman 1]

Hi Nils. Ja, es unterstützt es. Also seit Version 12. 

Mir ist nur der Weg nicht ganz klar. Danke 

[NilsK 2.968]

Moin,

 

naja, dann wird alles Nähere zur Einrichtung ja sicher in der Doku des Herstellers stehen. Wie man das konkret einbindet, ist von System zu System im Detail unterschiedlich.

 

Ist der Mailstore-Server denn vom Internet aus erreichbar? Nur dann kannst du mit Let's Encrypt sinnvoll arbeiten. Falls er nur intern erreichbar ist, nutze ein selbstsigniertes Zertifikat oder eins von einer internen PKI.

 

Gruß, Nils

 

[NorbertFe 2.089]

https://help.mailstore.com/de/server/Verwendung_von_Lets_Encrypt_Zertifikaten

[Cheeseman 1]

Hallo und Danke. Für mich ist es nur nicht so richtig klar, warum ich den Server über Port 80 erreichbar haben muss. Es ist sicherlich keins, sonst würden die das nicht machen, aber es fühlt sich an wie ein Sicherheitsrisiko...

[NorbertFe 2.089]

Weil darüber die antragsprüfung von lets encrypt läuft. 

[NilsK 2.968]

Moin,

 

das steht ja auch in dem Hilfe-Artikel von Mailstore unter "Voraussetzungen":

 

https://help.mailstore.com/de/server/Verwendung_von_Lets_Encrypt_Zertifikaten#.C3.9Cber_Let.27s_Encrypt

 

Ist eben die Frage, ob Mailstore auch  von extern genutzt werden soll. Falls nein, ist Let's Encrypt nicht die richtige Wahl. Siehe auch  meine zweite Antwort oben.

 

Gruß, Nils

 

[Cheeseman 1]

Ja, es soll von extern genutzt werden über WebAccess. Deswegen. Nur macht man da nicht ne Lücke auf wenn der Server auf Port 80 offen ist?

[NilsK 2.968]

Moin

 

wie würdest du denn von außen per Web Access zugreifen, wenn nicht  über Port 80?

 

Ein Port ist  ja nicht  automatisch eine Sicherheitslücke. Die bestünde nur, wenn das, was auf dem Port lauscht, angreifbar ist.

 

Gruß, Nils

 

[Cheeseman 1]

in dem Fall über den voreingestellten, 8462

[testperson 1.728]

Hi,

vor 3 Minuten schrieb Cheeseman:

Ja, es soll von extern genutzt werden über WebAccess. Deswegen. Nur macht man da nicht ne Lücke auf wenn der Server auf Port 80 offen ist? 

Das hängt wohl von der Implementierung seitens Mailstore ab. Ggfs. kannst du da ja auch noch einen Reverse-Proxy vorschalten, der z.B. per http nur das für Let's Encrypt benötigte durchlässt. Dann kann man aber auch direkt "alles in dem Bereich" an den Reverse-Proxy auslagern und / oder direkt ein Zertifikat für 2 Jahre für ca. 30€ kaufen (, was wohl das einfachste sein dürfte).

 

Gruß

Jan