Могу ли я использовать один и тот же сертификат SSL для smtp, imap, pop3 и http?

Пока что использую самозаверяющие сертификаты, но решил хотя бы подумать о получении «настоящего».

Пока что заметил, что внутренние форматы сертифицированных немного отличаются, а именно:

Сертификат http (nginx) имеет только часть CERTIFICATE (с содержимым в кодировке base64) и KEY с содержимым только base64
smtp (exim) crt файл содержит текстовую информацию сертификата (издатель, тема, алгоритм, даты и т. д.), плюс блок CERTIFICATE с данными base64, в то время как файл .key для exim содержит только ключ в кодировке base64
imap / pop3 (курьер) .pem файл содержит ключ (base64), информацию о сертификате (текстовую) и сам сертификат (base64).

Могу ли я получить любой "веб-сертификат" от thawte или другой подобной компании и из этого (и ключевого файла) сгенерировать все форматы, которые мне нужны для nginx, exim4 и courier, или мне нужно получить отдельные сертификаты, или это что-то остальное целиком?

Короткий ответ: да, для всех этих услуг можно использовать один сертификат.

Ключ и сертификат могут храниться во многих форматах, а с помощью инструмента openssl вы можете преобразовать свой ключ и сертификат в другие форматы.

Настоящая преграда в том, можете ли вы получить сертификат, действительный для всех имен, которые вы хотите использовать. Для своей сети вы можете использовать www.example.com, а для своей почты вы можете использовать mail.example.com. Вы можете получить подстановочный знак или сертификат SAN, который будет охватывать множество имен, но это будет дороже. Может быть дешевле получить пару индивидуальных сертификатов. Цены на разные сертификаты разные, поэтому подумайте, что будет дешевле в вашем случае.

В общем, да, хотя для преобразования сертификата в правильный формат может потребоваться небольшая работа с различными инструментами. Я использовал тот же сертификат SSL с apache, dovecot (imaps) и postfix (для TLS).

openssl (наряду с простым объединением сертификата и ключа в один и тот же файл) предоставил все, что мне нужно для этого.

Особенности различаются, но я твердо убежден, что вы действительно можете преобразовать подписанный ssl-сертификат в любой нужный вам формат, и я не знаю каких-либо исключений в упомянутых вами случаях использования.

В настоящее время мы используем подстановочный сертификат для всех наших услуг. Как уже упоминалось, все, что вам нужно, это openssl, чтобы преобразовать его в форматы, необходимые для ваших приложений. Пока мы используем его для Apache httpd, OpenLDAP и почты (Zimbra). Раньше мы покупали сертификаты у Thawte, но для этого мы выбрали GoDaddy - это намного дешевле.