potentielle Probleme bei Umstellung auf Zertifikat von "Let's Encrypt"
Ralf Hildebrandt
r at sys4.de
So Feb 11 14:25:52 CET 2024
* Rudolf E. Steiner via postfix-users <r.steiner at nemox.net>:
> Am 08.02.24 um 22:32 schrieb Andreas Ziegler:
>
> > ist das Zertifikat sicher das einzige was du getauscht hast?
>
> Ja.
>
> > Wenn ja, welche Art von Let's Encrypt Zertifikat hast du benutzt,
> > sprich welchen Signaturtyp?
>
> Ich habe "certbot" ohne Parameter dbzgl. verwendet. Muss ein bestimmter
> Signaturtyp verwendet werden?
Ich denke es wird defaultmäßig ein ECC key/cert erzeugt, das könnte das
Problem sein.
Ich nutze immer ein Script wie diese, um beide Typen bei unserem
Anbieter (Sectigo) via ACME zu erzeugen:
KeyID="geheim"
HMACKey="geheim"
certname="mail-cbf.domain.example"
domains="mail-cbf-ext.domain.example,mail-cbf-int.domain.example,mail-cbf.domain.example"
# EC
certbot certonly --standalone --non-interactive \
--agree-tos --email postmaster at domain.example --server https://acme.sectigo.com/v2/OV \
--eab-kid $KeyID --eab-hmac-key $HMACKey \
--domains $domains \
--cert-name ecc-$certname
# RSA 4096 (einziger Unterschied sind "--rsa-key-size 4096" und der Name der Datei)
certbot certonly --key-type rsa --rsa-key-size 4096 --standalone --non-interactive \
--agree-tos --email postmaster at domain.example --server https://acme.sectigo.com/v2/OV \
--eab-kid $KeyID --eab-hmac-key $HMACKey \
--domains $domains \
--cert-name rsa-$certname
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users