в настоящее время мой Postfix 2.11 экземпляр запускает TLS на GoDaddy SSL Certificate но поскольку я хотел бы иметь доступ к своему серверу с smtp.example.com, а также с imap.example.com, example.com или example.org, я купил дешевый сертификат SSL Class2 на сайте startssl.com. Но после обновления конфигурации Postfix, заменяющей старый SSL-сертификат Godaddy новым SSL-сертификатом StartSSL.com, клиенты электронной почты жалуются на то, что smtp.example.com не является общим именем example.com.
Я настроил nginx, и, похоже, все работает нормально при доступе к любому из следующих имен примеров и альтернативных имен:
example.com imap.example.com smtp.example.com mail.example.com *.example.com example.org imap.example.org smtp.example.org mail.example.org *.example.org
В Postfix у меня есть следующая конфигурация сертификата Godaddy:
smtpd_tls_cert_file=/etc/ssl/certs/example.crt smtpd_tls_key_file=/etc/ssl/private/example.key smtp_tls_CAfile=/etc/ssl/certs/sf_bundle.crt smtp_tls_CApath=/etc/ssl/certs
Для сертификата StartSSL.com Class2 я безуспешно пробовал следующие комбинации настроек:
Комбинация1
smtpd_tls_cert_file=/etc/ssl/certs/example.crt smtpd_tls_key_file=/etc/ssl/private/example.key smtp_tls_CAfile=/etc/ssl/certs/ca-certificates.crt smtp_tls_CApath=/etc/ssl/certs
Combination2 cat example.crt sub.class2.server.ca.pem >> mycert.crt
smtpd_tls_cert_file=/etc/ssl/certs/mycert.crt smtpd_tls_key_file=/etc/ssl/private/example.key smtp_tls_CAfile=/etc/ssl/certs/ca-certificates.crt smtp_tls_CApath=/etc/ssl/certs
Combination3 cat example.crt sub.class2.server.ca.pem >> /etc/ssl/certs/ca-certificates.crt
smtpd_tls_cert_file=/etc/ssl/certs/example.crt smtpd_tls_key_file=/etc/ssl/private/example.key smtp_tls_CAfile=/etc/ssl/certs/ca-certificates.crt smtp_tls_CApath=/etc/ssl/certs
Как я вижу, основная проблема возникает из-за того, что клиенты не видят альтернативные имена, расположенные в x509v3, но браузеры HTTP, такие как Chrome или Firefox, видят.
Наконец, я получил сертификат SSL startssl.com класса 2, работающий с Postfix 2.11, поэтому моя текущая конфигурация отлично работает для нескольких доменов и поддоменов.
Вот рабочая конфигурация на случай, если она кому-нибудь понадобится.
Постфикс /etc/postfix/main.cf
smtpd_tls_cert_file=/etc/ssl/certs/class2.webeloping_es.pem smtpd_tls_key_file=/etc/ssl/private/class2.webeloping_es.key ## This file was download from startssl.com smtp_tls_CAfile=/etc/ssl/certs/startssl_ca-bundle.pem smtp_tls_CApath=/etc/ssl/certs
Курьер Imap / etc / courier / imapd-ssl
$ cat /root/SSL/startssl.com/class2.webeloping_es.crt /root/SSL/startssl.com/class2.webeloping_es.key >> /etc/ssl/private/startssl-crt_key.pem TLS_CERTFILE=/etc/ssl/private/startssl-crt_key.pem TLS_TRUSTCERTS=/etc/ssl/certs/startssl_ca-bundle.pem