Discussion:
Genereren van imapd.pem
(te oud om op te antwoorden)
Cecil Westerhof
2022-08-20 14:54:12 UTC
Permalink
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
Ik heb hier lang geleden een script voor gemaakt dat o.a. het volgende doet:
dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
-out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
openssl x509 -subject -dates -fingerprint -noout \
-in ${PEM_FILE_NEW} || cleanUp
rm -f ${RAND_FILE}
chmod +r ${PEM_FILE_NEW}

De funktie cleanUp doet een cleanup en exit het script.

Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Paul van der Vlis
2022-08-21 18:39:23 UTC
Permalink
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
-out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
openssl x509 -subject -dates -fingerprint -noout \
-in ${PEM_FILE_NEW} || cleanUp
rm -f ${RAND_FILE}
chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Jaap
2022-08-21 19:20:13 UTC
Permalink
Post by Paul van der Vlis
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
     dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
     openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
             -out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
     openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
     openssl x509 -subject -dates -fingerprint -noout \
             -in ${PEM_FILE_NEW} || cleanUp
     rm    -f ${RAND_FILE}
     chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even moet
herstarten. Ze hebben niet in de gaten als het certificaat vernieuwd is.

Jaap
Cecil Westerhof
2022-08-22 00:31:06 UTC
Permalink
Post by Jaap
Post by Paul van der Vlis
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
     dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
     openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
             -out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
     openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
     openssl x509 -subject -dates -fingerprint -noout \
             -in ${PEM_FILE_NEW} || cleanUp
     rm    -f ${RAND_FILE}
     chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even moet
herstarten. Ze hebben niet in de gaten als het certificaat vernieuwd is.
Dat moet ik dan eens gaan uitproberen.
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Paul van der Vlis
2022-08-22 14:39:17 UTC
Permalink
Post by Jaap
Post by Paul van der Vlis
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
     dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
     openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
             -out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
     openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
     openssl x509 -subject -dates -fingerprint -noout \
             -in ${PEM_FILE_NEW} || cleanUp
     rm    -f ${RAND_FILE}
     chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even moet
herstarten. Ze hebben niet in de gaten als het certificaat vernieuwd is.
Interessant.

Ik gebruik Postfix, en volgens mij hoef ik dat niet te herstarten.

Voor IMAP gebruik ik Cyrus, en daar doe ik dat tegenwoordig ook niet
meer. Maar misschien dat ik dit toch wat beter in de gaten moet houden...

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
richard lucassen
2022-08-22 15:09:11 UTC
Permalink
On Mon, 22 Aug 2022 16:39:17 +0200
Post by Paul van der Vlis
Post by Jaap
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even
moet herstarten. Ze hebben niet in de gaten als het certificaat
vernieuwd is.
Interessant.
Ik gebruik Postfix, en volgens mij hoef ik dat niet te herstarten.
Voor IMAP gebruik ik Cyrus, en daar doe ik dat tegenwoordig ook niet
meer. Maar misschien dat ik dit toch wat beter in de gaten moet houden...
Volgens mij kun je in de client instellen of ie strict met certs omgaat
of niet
--
richard lucassen
http://contact.xaq.nl/
Paul van der Vlis
2022-08-22 17:56:23 UTC
Permalink
Post by richard lucassen
On Mon, 22 Aug 2022 16:39:17 +0200
Post by Paul van der Vlis
Post by Jaap
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even
moet herstarten. Ze hebben niet in de gaten als het certificaat
vernieuwd is.
Interessant.
Ik gebruik Postfix, en volgens mij hoef ik dat niet te herstarten.
Voor IMAP gebruik ik Cyrus, en daar doe ik dat tegenwoordig ook niet
meer. Maar misschien dat ik dit toch wat beter in de gaten moet houden...
Volgens mij kun je in de client instellen of ie strict met certs omgaat
of niet
Ik stel die clients niet in. Verder lijkt het mij logisch om
certificaten te hebben die geldig zijn.

Groeten,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
richard lucassen
2022-08-22 18:35:42 UTC
Permalink
On Mon, 22 Aug 2022 19:56:23 +0200
Post by Paul van der Vlis
Post by richard lucassen
Volgens mij kun je in de client instellen of ie strict met certs
omgaat of niet
Ik stel die clients niet in. Verder lijkt het mij logisch om
certificaten te hebben die geldig zijn.
Uiteraard. anders hebben certificaten geen zin natuurlijk. Maar volgens
mij kun je in TB en K9 (wat tegenwoordig gekoppeld is aan TB) ervoor
kiezen om ongeldige certs te accepteren.

Ik gebruik gewoon een wildcard cert. Wel zo handig ;-)

R.
--
richard lucassen
http://contact.xaq.nl/
Paul van der Vlis
2022-08-22 21:07:09 UTC
Permalink
Post by richard lucassen
On Mon, 22 Aug 2022 19:56:23 +0200
Post by Paul van der Vlis
Post by richard lucassen
Volgens mij kun je in de client instellen of ie strict met certs
omgaat of niet
Ik stel die clients niet in. Verder lijkt het mij logisch om
certificaten te hebben die geldig zijn.
Uiteraard. anders hebben certificaten geen zin natuurlijk. Maar volgens
mij kun je in TB en K9 (wat tegenwoordig gekoppeld is aan TB) ervoor
kiezen om ongeldige certs te accepteren.
Ik gebruik gewoon een wildcard cert. Wel zo handig ;-)
Doe je dat met Let's Encrypt? Het kan, ik gebruik ook wel authenticatie
via de nameserver. Maar via poort 80 vind ik wel zo simpel.

Groeten,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
richard lucassen
2022-08-22 21:17:37 UTC
Permalink
On Mon, 22 Aug 2022 23:07:09 +0200
Post by Paul van der Vlis
Post by richard lucassen
Ik gebruik gewoon een wildcard cert. Wel zo handig ;-)
Doe je dat met Let's Encrypt? Het kan, ik gebruik ook wel
authenticatie via de nameserver. Maar via poort 80 vind ik wel zo
simpel.
Nee, ik heb gewoon een Sectigo abonnement, kan wel met LE uiteraard en
daar zal het wel op uitdraaien als-ie verlopen is in 2026...
--
richard lucassen
http://contact.xaq.nl/
Rob van der Putten
2022-08-23 17:28:02 UTC
Permalink
Hoi
Post by richard lucassen
On Mon, 22 Aug 2022 19:56:23 +0200
Post by Paul van der Vlis
Post by richard lucassen
Volgens mij kun je in de client instellen of ie strict met certs
omgaat of niet
Ik stel die clients niet in. Verder lijkt het mij logisch om
certificaten te hebben die geldig zijn.
Uiteraard. anders hebben certificaten geen zin natuurlijk. Maar volgens
mij kun je in TB en K9 (wat tegenwoordig gekoppeld is aan TB) ervoor
kiezen om ongeldige certs te accepteren.
Ik gebruik gewoon een wildcard cert. Wel zo handig ;-)
Doe je dat met Let's Encrypt?  Het kan, ik gebruik ook wel authenticatie
via de nameserver. Maar via poort 80 vind ik wel zo simpel.
Voor zover mij bekend werkt een wilcard alleen met een DNS challenge.

Ik gebruik Dehydrated. Dat is een verzameling shellscripts en dus
handiger dan Certbot wanneer je, zoals ik, niet into python bent.
Met wat knutselen heb ik het werkend voor https, voip, smtp en imap.
Loopt uit cron en doet restarts wanneer nodig.


Vr.Gr,
Rob
--
Let's deploy Geoengineering
https://en.wikipedia.org/wiki/Climate_engineering
Paul van der Vlis
2022-08-25 11:11:37 UTC
Permalink
Post by Rob van der Putten
Voor zover mij bekend werkt een wilcard alleen met een DNS challenge.
Voor zover ik weet ook. Maar dat heb ik aan de praat, tenminste voor
hosts die niet via internet bereikbaar zijn.

Wellicht is het dus ook best te doen met wildcard certificaten, alleen
nog niet gedaan.
Post by Rob van der Putten
Ik gebruik Dehydrated. Dat is een verzameling shellscripts en dus
handiger dan Certbot wanneer je, zoals ik,  niet into python bent.
Met wat knutselen heb ik het werkend voor https, voip, smtp en imap.
Loopt uit cron en doet restarts wanneer nodig.
Ik gebruik Certbot en heb ook niet zoveel Python kennis. Maar het is
prima te doen, zowel met DNS als met web. Restarts kunnen ook.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Gijs Hillenius
2022-08-22 16:12:31 UTC
Permalink
Post by Paul van der Vlis
Post by Jaap
Post by Paul van der Vlis
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
     dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
     openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
             -out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
     openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
     openssl x509 -subject -dates -fingerprint -noout \
             -in ${PEM_FILE_NEW} || cleanUp
     rm    -f ${RAND_FILE}
     chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even
moet herstarten. Ze hebben niet in de gaten als het certificaat
vernieuwd is.
Interessant.
Ik gebruik Postfix, en volgens mij hoef ik dat niet te herstarten.
Voor IMAP gebruik ik Cyrus, en daar doe ik dat tegenwoordig ook niet
meer. Maar misschien dat ik dit toch wat beter in de gaten moet houden...
Die restart zit wellicht gewoon in de post-hook van LE, dat het niet
opvalt?
Paul van der Vlis
2022-08-22 17:55:02 UTC
Permalink
Post by Gijs Hillenius
Post by Paul van der Vlis
Post by Jaap
Post by Paul van der Vlis
Post by Cecil Westerhof
Ik heb mijn eigen IMAPS server dus ik moet jaarlijks een nieuwe
imapd.pem genereren.
     dd if=/dev/urandom of=${RAND_FILE} count=1 2>/dev/null
     openssl req -new -x509 -days 375 -nodes -config ${IMAPD_CNF} \
             -out ${PEM_FILE_NEW} -keyout ${PEM_FILE_NEW} || cleanUp
     openssl dhparam -rand ${RAND_FILE} 2048 >>${PEM_FILE_NEW} || cleanUp
     openssl x509 -subject -dates -fingerprint -noout \
             -in ${PEM_FILE_NEW} || cleanUp
     rm    -f ${RAND_FILE}
     chmod +r ${PEM_FILE_NEW}
De funktie cleanUp doet een cleanup en exit het script.
Is dit (nog steeds) de correcte manier, of kan het beter anders worden
gedaan?
Ik gebruik Let's Encrypt, dat doet het helemaal automatisch.
Ik ook, maar ik heb ontdekt dat ik dovecot en/of postfix wel even
moet herstarten. Ze hebben niet in de gaten als het certificaat
vernieuwd is.
Interessant.
Ik gebruik Postfix, en volgens mij hoef ik dat niet te herstarten.
Voor IMAP gebruik ik Cyrus, en daar doe ik dat tegenwoordig ook niet
meer. Maar misschien dat ik dit toch wat beter in de gaten moet houden...
Die restart zit wellicht gewoon in de post-hook van LE, dat het niet
opvalt?
Nee, ik heb het nagekeken. Wel had ik lang een automatisch restart
script voor Cyrus. Maar sinds kort niet meer.

Groeten,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Loading...