我有一个邮件服务器,正在尝试设置为 6 个域提供服务。我将有多个邮件用户通过 POP3S 或 IMAPS 访问服务器。
目前在 MS Outlook 中,他们收到未经验证的 SSL 证书警告,因为我使用的是自签名 SSL 证书。我想购买一个 SSL 证书来阻止此警告的出现。
我希望每个域组使用类似 mail.theirdomain.com 的名称作为传入邮件服务器名称。有没有一种方法可以做到这一点,而无需为 6 个域中的每一个域购买证书?换句话说,我可以为 mail.maindomain.com 购买一个并让它验证其他 DNS 名称吗?
目前在 DNS 中,mail.theirdomain.com 有一个指向 mail.maindomain.com 的 CNAME 设置。我正在运行 Dovecot 来接收邮件,并运行 Sendmail 来发送邮件。 Debian 6 上的最新版本。
答案1
我使用了多个域证书,但仅限于名称是同一组织的不同域的情况。这些名称的所有权可以追溯到同一家公司。如果我是证书颁发机构,我不会想为不相关的组织提供相同的服务。
对于 SMTP,邮件服务器的域与原始邮件的域不同的情况并不罕见。 Dovecot 支持域登录,因此您可以让用户使用 id 登录,就像[email protected]为 Dovecot 服务器使用单个域一样。您仍然只需要由公认的证书颁发机构签署的证书。
您也可以像我一样,发布您的签名证书的公钥。然后,您的客户端可以导入密钥,如果域匹配,证书就会通过。我还没有尝试向自签名证书添加备用名称,但似乎openssl可以相当轻松地生成此类证书。
答案2
我同意比尔托尔的回答。您可以使用单个 SAN(多域)SSL 证书来保护您的所有 6 个域。 GeoTrust True BusinessID 多域证书将是您的最佳选择。
如果您使用自签名证书来保护您的服务器,您的服务器可能会因许多在线攻击而受到攻击,例如窃听、身份盗窃、虚假消息、邮件修改等。因此,选择由 SAN 颁发的证书对您来说是有利的值得信赖的 CA。