Hallo Tobias,
bei mir ist das „aus der Not heraus“ so gekommen – vor allem gerade weil ich damals die Option „interner FQDN = externer FQDN“ gewählt hatte und es dann diverse Probleme mit fehlenden Zertifikaten gab.
Da musste ich mir etwas einfallen lassen, wie ich die LE-Zertfikate am besten auf den Server bekomme. Was lag da näher, als den schon vorhandenen Service auf der OPNSense zu verwenden? Anleitung dazu z.B. hier: https://schulnetzkonzept.de/opnsense → ab „Anlage eines Let’s-Encrypt-Kontos“
Da ja auf dem v7-Server per default alles unter /etc/linuxmuster/ssl/ liegt und das bundle dort server.cert.bundle.pem heißt, habe ich es bei diesen Namen belassen.
Unter /etc/samba/smb.conf habe ich zudem diese Einstellungen gewählt:
tls keyfile = /etc/linuxmuster/ssl/server.key.pem
tls certfile = /etc/linuxmuster/ssl/fullchain.pem
tls cafile = /etc/linuxmuster/ssl/cacert.pemSeitdem ist Ruhe und ich bekomme sowohl mit
openssl s_client -connect server:636 als auch mit
openssl s_client -connect server:443 eine gültige Chain.
Ich hatte übrigens irgendwann das Script, mit dem ich die Zertifikate von der OPNSense hole, schon mal hier veröffentlicht … Sekunde … ja, gefunden … hier war das:
hth – viele Grüße,
Michael