这里说不要这么做:
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-postfix-e-mail-server-with-dovecot
我的问题是:为什么不呢?
另外,还有一个问题,如何确保证书只有 root 用户可读?
答案1
证书是建立信任的一种方式。有许多证书签名机构受到使用 SSL/TLS 证书的浏览器和其他工具的信任。当建立加密连接时,他们会验证提供的证书是否由受信任的证书签名。
自签名证书不是由受信任的签名者签名的,因此不受信任。许多工具都会询问您是否要接受证书。教人们接受此类证书,会让他们容易受到中间人攻击。
如果您不想从受信任的证书颁发机构获取证书,您可以创建自己的证书颁发机构 (CA)。但是,您需要将公共 CA 证书分发给您的客户,并让他们将其安装在适当的信任存储中。
在某些情况下,例如 VPN,您可能需要拥有自己的 CA。IMAP、POP 和 HTTP 等服务很少属于这种情况。