我想为一些运行 SSL 和/或 TLS 邮件服务的 Linux 邮件服务器发布非自签名 SSL 证书。(如果相关,这些是 dovecot+sendmail 服务器。)
我需要涵盖常见的 {mail、smtp、smtp2、imap、pop3、...}@dom.ain 服务器名称,因此我自然而然地想到购买通配符 *@dom.ain。(UC 似乎没有必要,因为它们都源自同一个 dom.ain 名称)
我已经对几乎没有问题的网站进行了此操作,但我想知道从客户端的角度来看邮件使用是否有任何不同 - 因为主要目的是避免客户端软件抱怨自签名证书的问题。
干杯,阿尔夫
答案1
通配符证书应该没问题!客户端问题非常罕见。只需确保包含整个证书链(中间证书),以避免旧硬件/手机出现问题。
设置取决于邮件服务器,但我不记得有任何兼容性问题或类似问题。使用 Dovecot 设置 SSL 相当简单,大多数 MTA 也是如此。Postfix 和 Dovecot 运行良好,即使使用老旧的 sendmail,我也不会遇到严重问题。
还要记住选择一个好的密码套件。除非您的组织的指导方针涵盖这一点,否则您可能会发现 www.bettercrypto.org 很有帮助。