最近我一直在尝试使用证书来保护邮件端口993/ 995/ 465。指定服务器主机名时,这种方法有效,但在拥有众多用户的共享服务器上,这种方法不可行。
“工作”设置是:
Protocol domain/hostname Port SSL
Incoming IMAP shared.server.tld 993 SSL
Outgoing SMTP shared.server.tld 465 SSL
我需要它为 工作mail.domainname。这样客户唯一要做的就是在 Apple Mail/OUTLOOK/Thunderbird 中打开 SSL,或者指定 993/465 端口。
现在,当我指定时,mail.domainname我会得到一个证书不匹配的问题,因为该证书是用于shared.server.tld而不是mail.domainname
如何使用指定的证书来保护 mail.domainname 端口shared.server.tld?
我们已经尝试使用srvDNS 记录,并希望通过自动发现来实现这一点。
答案1
获取涉及的每个主机名的带有主题备用名称的证书 - 这些证书通常作为“多域”或“多主机” SSL 证书出售。
主机名和主题名称必须匹配,否则您就无法防止 MITM - 毕竟,如果它们可以不同,那么由根 CA 有效签名的任何证书都可以适用于任何主机。
答案2
更好的方法是,从 Lets Encrypt 获取证书,其中包含您需要的任何域和子域(包括 mail.whatever-- 和 autodiscover.whatever,尽管这不是强制性的)。您必须每 90 天续订一次,但这是免费的,而且无论如何,更频繁地续订更安全,因为您会获得一个新证书。也有自动续订的方法,因此根据您的设置和需求,这可能是值得的。