В настоящее время я использую постфиксный сервер с самоподписанными сертификатами, обслуживающий один почтовый домен, mycompany.com, почтовый сервер - mail.mycompany.com, а также CN сертификата. Теперь мне нужно добавить к нему новый домен. Новое доменное имя mycompany.net на том же сервере.
Поскольку у пользователей уже есть корень старого сертификата, я бы хотел его повторно использовать. Однако я хотел бы выпустить новый сертификат, чтобы пользователи, использующие SMTP из Outlook / Thunderbird на mail.mycompany.net, не получали предупреждений. Если я правильно понимаю, если я выпущу новый сертификат с CN = mail.mycompany.com и subjectAltName = DNS: mail.mydomain.net и использую postfix, клиент не будет жаловаться на то, что cn не соответствует цели имя хоста. Прав ли я в этом предположении, или я неправильно понимаю концепцию альтернативного имени субъекта?
Чтобы избежать разговора, я не хочу, чтобы пользователи на адресах mycompany.net использовали сервер mycompany.com, потому что мне, возможно, (не по техническим причинам) придется разделиться на два разных места, и я хочу создать легко переносимую настройку .
Вам необходимо установить subjectAltName для всех записей DNS (или IP), которые вы хотите использовать. В вашем случае это было бы
subjectAltName=DNS:mail.mydomain.net,DNS:mail.mycompany.com
CN фактически не рекомендуется в RFC, и его можно полностью опустить. Если он используется, он должен быть установлен на любое значение расширения subjectAltName.
ПРИМЕЧАНИЕ: я говорю о RFC2818 здесь, который определяет HTTP через TLS. Но поскольку ни SMTP, ни общий TLS RFC не упоминают поле сертификата, которое будет использоваться для сопоставления имен, это лучший вариант, о котором я знаю.