我们目前在 Exchange 中使用安全的 OWA,但也使用不安全和未加密的 SMTP、POP3 和 IMAP。我们将它们映射到 smtp.domain.com、pop.domain.com 和 imap.domain.com,而对于 OWA@IIS,我们使用为 Secured.domain.com 颁发的公共信任证书。我知道一种解决方案是为多个域获取一个证书。但如果这不是一个选择呢?如果没有通用证书,我如何在 SMTP、POP 和 IMAP 等传统邮件服务上实施 TLS?我还想在我们的 DNS 中保留别名 smtp、pop 和 imap,以免破坏用户对这些服务的访问。因此,我们应该以某种方式从 smtp.domain.com 重定向到 Secured.domain.com。
答案1
Exchange 可以为这些服务生成自己的自签名证书。它们应该可以很好地用于 TLS(尽管某些 TLS 对等方可能会拒绝自签名证书),并且根据您的用户群,这也可能适用于 POP 和 IMAP。
不过,总体而言,为您想要提供的服务生成具有适当 SAN 的证书会更简单。如果您能解释为什么这可能不是一个选择,这将帮助我们找到更好的解决方案。