我已经使用购买的 SSL 证书设置了 Postfix。邮件服务器上一切正常,只是客户端认为 SSL 证书“无效 - 识别了错误的站点”。
以下是证书详细信息:
该服务器服务多个域,我们将其称为example1.com,example2.com。
在证书上,主要主题名称是主要域名之一 (example1.com),其中邮件服务器的主机名添加为 SAN(主题备用名称):mail.example1.com、mail.example2.com。
因此,当我尝试从两个域 example1.com 或 example2.com 中的任何一个发送邮件(使用 Thunderbird 邮件客户端)时,Thunderbird 会显示“证书无效 - 识别了错误的站点”,并且它显示证书标识为“example1.com”。
此时我不确定到底出了什么问题 - 是 Thunderbird 不支持 SAN(我用 Google 搜索时没有找到任何结果),还是服务器上出现了其他问题?
显然,该证书已被找到并呈现给 Thunderbird 客户端,因此我的 Postfix 服务器配置应该没有问题。无论如何,Postfix 配置的相关部分如下:
smtpd_tls_cert_file = /etc/ssl/certs/example1.crt
smtpd_tls_key_file = /etc/ssl/private/example1.key
smtpd_tls_CAfile = /etc/ssl/certs/example1_bundle-g2-g1.crt
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
我想补充一点,邮件服务器上的 Web 邮件客户端也使用相同的证书(即浏览到https://mail.example1.com或者https://mail.example2.com),并且它显示该网站对于 mail.example1.com 和 mail.example2.com 都是安全的并且已通过验证。因此证书完全有效 - 但为什么它不适用于 Thunderbird 中的 TLS?证书是否可能仅限于“网络”使用?从未听说过。
编辑
以下是该证书主要成分的副本,希望对您有帮助:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
17:79:08:cc:15:a2:74:be
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certs.godaddy.com/repository/, CN=Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Apr 12 09:48:03 2018 GMT
Not After : Apr 12 09:48:03 2019 GMT
Subject: OU=Domain Control Validated, CN=example1.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
...
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.godaddy.com/gdig2s1-822.crl
X509v3 Certificate Policies:
Policy: 2.16.840.1.114413.1.7.23.1
CPS: http://certificates.godaddy.com/repository/
Policy: 2.23.140.1.2.1
Authority Information Access:
OCSP - URI:http://ocsp.godaddy.com/
CA Issuers - URI:http://certificates.godaddy.com/repository/gdig2.crt
X509v3 Authority Key Identifier:
keyid:40:C2:BD:27:8E:CC:34:83:30:A2:33:D7:FB:6C:B3:F0:B4:2C:80:CE
X509v3 Subject Alternative Name:
DNS:example1.com, DNS:www.example1.com, DNS:mail.example1.com, DNS:example3.com, DNS:mail.example2.com, DNS:mail.example4.com
X509v3 Subject Key Identifier:
72:4D:E6:DD:16:86:CC:EA:9F:DD:73:4E:2C:02:BD:5A:6D:74:7B:CC
1.3.6.1.4.1.11129.2.4.2:
...
Signature Algorithm: sha256WithRSAEncryption
...