CentOS 5.x
Поддерживает ли SendMail сертификаты TLS с альтернативными именами субъектов?
У меня есть набор серверов sendmail, и я хотел бы использовать один и тот же сертификат для всех из них (для экономии времени и текущих расходов). Это сработает?
Насколько мне известно, поддержка альтернативных имен субъектов - это в первую очередь проблема на стороне клиента. Там записи SAN должны быть проверены, если имя хоста запроса не совпадает с общим именем в сертификате.
Sendmail просто загружает и представляет сертификат, и мне кажется, даже не нужно интерпретировать закодированные там записи SAN.
Но даже если требуется некоторая поддержка на стороне сервера, она будет исходить из библиотеки OpenSSL, которая поддерживает расширения X509 V3 (включая альтернативные имена субъектов), начиная с OpenSSL 0.9.2. RHEL 5 поставляется с 0.9.8 IIRC
Я бы даже рискнул предположить, что большинство SMTP-серверов просто используют SSL для безопасности транспорта и по умолчанию не проверяют, совпадает ли общее имя сертификата (или альтернативное имя субъекта) с именем хоста, и просто используют предоставленный общедоступный сертификат в любом случае.