Недавно я пытался защитить почтовые порты 993/995/465 с сертификатом. Он работает при указании имени хоста сервера, но это не вариант на общем сервере с большим количеством пользователей.
«Рабочая» установка:
Protocol domain/hostname Port SSL
Incoming IMAP shared.server.tld 993 SSL
Outgoing SMTP shared.server.tld 465 SSL
Мне это нужно для работы mail.domainname. Поэтому единственное, что нужно сделать клиентам, - это включить SSL в Apple Mail / OUTLOOK / Thunderbird или указать порты 993/465.
Прямо сейчас, когда я указываю mail.domainname Я получаю несоответствие сертификата, потому что сертификат предназначен для shared.server.tld и нет mail.domainname
Как мне защитить порты mail.domainname сертификатом, указанным для shared.server.tld?
Мы пробовали с srv DNS-запись, и мы хотим, чтобы она работала с помощью автообнаружения.
Получите сертификат с альтернативными именами субъектов для каждого из задействованных имен хостов - они часто продаются как «многодоменные» или «многоузловые» SSL-сертификаты.
Имя хоста и имя субъекта ДОЛЖНЫ совпадать, в противном случае вы не защищаете от MITM - в конце концов, если они могут отличаться, ЛЮБОЙ сертификат, корректно подписанный корневым ЦС, будет работать для любого хоста.
Лучше просто получить сертификат от Lets Encrypt с любыми доменами и поддоменами, которые вам нужны (включая mail.whatever - и autodiscover.whatever, хотя это не обязательно). Вам придется продлевать подписку каждые 90 дней, но это бесплатно, и в любом случае лучше продлевать подписку чаще, так как вы получите новый сертификат. Существуют также способы автоматического обновления, поэтому, в зависимости от ваших настроек и потребностей, оно того стоит.