多个域上的用户连接到邮件服务器集群。该集群由 3 台服务器组成。
- SRV1.主机域名.com
- SRV2.主机域名.com
- SRV3.主机域名.com
这些服务器与后面的 MX 记录相结合securemail.hostdomain.com并具有各自的优先级。
客户端将电子邮件服务器视为mail.theirdomain.com,它被命名为securemail.hostdomain.com。
我将设置主机域名使用通配符 SSL 证书。
这样做的问题是客户端无法在其mail.theirdomain.com。
我应该使用多域 SSL 证书吗?或者我应该使用哪种 SSL 证书?
答案1
某些邮件服务器支持同一 IP 地址上的多个证书,但它们需要一个支持 SNI 的客户端,以便提供正确的证书。并非所有客户端都支持 SNI,因此您不能依赖这一点。
这意味着您必须在邮件服务器上使用单个证书。最简单的方法是设置客户端域的 MX 以指向此服务器securemail.hostdomain.com而不是mail.theirdomain.com就像您现在做的那样。
如果您不想采用这种简单的方法,您需要一个多域证书,其中包括您想要在此服务器上提供服务的所有域。当然,这需要您实际拥有所有这些域,或者至少拥有足够的访问权限来应对 DV 证书验证中使用的质询。如果这些域完全由客户端控制,您就无法做到这一点。
答案2
据我所知,邮件服务器上只能安装一个证书,所以是的,您可以拥有多域证书或告诉您的客户端忽略 SSL 警告。
答案3
如果您希望客户端使用他们自己的域,则需要使用具有多个 SAN(主题备用名称)的证书,每个您想要应答的域一个。