Я установил Postfix с купленным сертификатом SSL. На почтовом сервере работает все, кроме того, что клиенты воспринимают сертификат SSL как «недействительный - идентифицирует не тот сайт».
Вот детали сертификата:
Сервер обслуживает несколько доменов, назовем их example1.com, example2.com.
В сертификате основным именем субъекта является одно из основных доменных имен (example1.com) с именами хостов почтовых серверов, добавленных как SAN (альтернативные имена субъектов): mail.example1.com, mail.example2.com.
Поэтому, когда я пытаюсь отправить почту с любого из двух доменов example1.com или example2.com (используя почтовый клиент Thunderbird), Thunderbird сообщает «сертификат недействителен - идентифицирует неправильный сайт», и это показывает мне, что сертификат идентифицирует «example1» .com ".
На данный момент я не уверен, что на самом деле не так - Thunderbird не поддерживает SAN (ничего не появляется, когда я искал это в Google), или что-то еще не так на сервере?
Сертификат явно найден и представлен клиенту Thunderbird, поэтому моя конфигурация не должна быть неправильной на сервере Postfix. В любом случае, соответствующие биты конфигурации Postfix:
smtpd_tls_cert_file = /etc/ssl/certs/example1.crt
smtpd_tls_key_file = /etc/ssl/private/example1.key
smtpd_tls_CAfile = /etc/ssl/certs/example1_bundle-g2-g1.crt
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
tls_random_source = dev:/dev/urandom
Я мог бы добавить, что тот же сертификат используется для клиента веб-почты на почтовом сервере (т. Е. Для просмотра https://mail.example1.com или https://mail.example2.com), и это показывает, что сайт безопасен и проверен как для mail.example1.com, так и для mail.example2.com. Итак, сертификат полностью действителен, но почему он не работает для TLS в Thunderbird? Возможно ли, что сертификат ограничен для использования "только в сети"? Никогда об этом не слышал.
РЕДАКТИРОВАТЬ
Вот копия основных компонентов сертификата, если это поможет:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
17:79:08:cc:15:a2:74:be
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certs.godaddy.com/repository/, CN=Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Apr 12 09:48:03 2018 GMT
Not After : Apr 12 09:48:03 2019 GMT
Subject: OU=Domain Control Validated, CN=example1.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
...
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.godaddy.com/gdig2s1-822.crl
X509v3 Certificate Policies:
Policy: 2.16.840.1.114413.1.7.23.1
CPS: http://certificates.godaddy.com/repository/
Policy: 2.23.140.1.2.1
Authority Information Access:
OCSP - URI:http://ocsp.godaddy.com/
CA Issuers - URI:http://certificates.godaddy.com/repository/gdig2.crt
X509v3 Authority Key Identifier:
keyid:40:C2:BD:27:8E:CC:34:83:30:A2:33:D7:FB:6C:B3:F0:B4:2C:80:CE
X509v3 Subject Alternative Name:
DNS:example1.com, DNS:www.example1.com, DNS:mail.example1.com, DNS:example3.com, DNS:mail.example2.com, DNS:mail.example4.com
X509v3 Subject Key Identifier:
72:4D:E6:DD:16:86:CC:EA:9F:DD:73:4E:2C:02:BD:5A:6D:74:7B:CC
1.3.6.1.4.1.11129.2.4.2:
...
Signature Algorithm: sha256WithRSAEncryption
...