如何为 Dovecot 建立链式证书?

如何为 Dovecot 建立链式证书?

我有一个用于 localhost 的 Dovecot 默认证书“dovecot.pem”。
我的电子邮件客户端使用“domain1”和“domain2”作为电子邮件主机。
因此,我还有另外两个自签名证书“​​domain1.crt”和“domain2.crt”。

现在,如何为 Dovecot 创建链式 SSL 证书,包括 domain1 和 domain2?

答案1

现在,如何为 Dovecot 创建链式 SSL 证书,包括域 1 和域 2?

期限链式证书当证书和根证书之间存在中间证书时使用。


您的最终目标是为多个域提供带有 SSL 的 dovecot 服务。您当前的 dovecot 配置使用默认的 localhost.pem,并且您希望 dovecot 为两个域提供证书。因此,我们有两种备选解决方案:

  1. 使用主题备用名称 (SAN) 生成新的自签名证书。您可以使用一些教程

  2. 使用Dovecot Server 的 SNI 功能。不幸的是,这仅适用于客户端 TLS SNI(服务器名称指示)支持。要做到这一点,您需要local_name参数。

    local_name imap.example.org {
      ssl_cert = </etc/ssl/certs/imap.example.org.crt
      ssl_key = </etc/ssl/private/imap.example.org.key
    }
    
    local_name imap.example2.org {
      ssl_cert = </etc/ssl/certs/imap.example2.org.crt
      ssl_key = </etc/ssl/private/imap.example2.org.key
    }
    

另一种选择是为您的服务器使用单个全局域 IMAP。例如,您可以告诉客户端连接到“域 1”或“域 2”,而不是告诉它连接到处理“域 1”和“域 2”的“myimap.example.com”。许多 IMAP 和 POP3 客户端没有 SNI 功能跟他们。

相关内容