dovecot смущает сертификат сайта с почтовым сертификатом

Я постараюсь сохранить это. Я хочу, чтобы beta.example.com использовал мой сервер в качестве почтового сервера. Я вижу, что у dovecot и postfix есть только одна строка для сертификата. Поэтому я сделал сертификат для mail.example.com, который полностью действителен. Я попытался использовать thunderbird для подключения к моему почтовому серверу (beta.example.com), и он дал мне неправильное предупреждение о том, что сертификат принадлежит mail.example.com. Где я испортил? Запись mx говорит mail.example.com, так что разве он не знает, что сертификат для mail.example.com? Я добавил исключение, однако он все еще не работает (после того, как он подскажет мне мой пароль). Я посмотрел на свой сервер, и он кажется, что dovecot отклоняет соединение, потому что thunderbird дает ему плохие данные cert.

2 Solutions collect form web for “dovecot смущает сертификат сайта с почтовым сертификатом”

Вы испытываете саму цель сертификатов: предотвращать случайное соединение с сервером, который не тот, которого вы ожидаете ( mail.example.com а не beta.example.com ). Вы должны настроить сертификат, выданный для домена, к которому вы подключаетесь, т.е. если почтовый клиент подключается к beta.example.com , вам нужен сертификат для beta.example.com .

Либо получите другой сертификат для beta.example.com (или beta.example.com его как альтернативное имя субъекта), либо укажите beta.example.com на IP-адрес beta.example.com .

Клиент настроен для подключения к mail.example.com .

Сервер, к которому он подключается к претензиям (в сертификате), должен быть beta.example.com .

Поскольку mail.example.com – это не то же самое, что beta.example.com , клиент жалуется на несоответствие. Это полностью по дизайну.

Чтобы это работало, вам необходимо настроить почтовый сервер для представления сертификата, который включает альтернативное имя субъекта, которое соответствует имени хоста, на которое указывает клиент. Как имя хоста заканчивается тем, что разрешено к IP-адресу, находится рядом с точкой.

Раньше считалось, что вы укажете имя хоста в поле «Общее имя» сертификата, но эта практика устарела. Вы все равно можете поместить имя хоста в CN-сертификат, если хотите, но для лучшей совместимости вам также нужно добавить его как SAN. Я считаю, что большинство ЦС поставят CN как SAN в качестве службы для вас, если вы не сделаете это самостоятельно в своей CSR, но есть риск, что некоторые могут не быть; проверьте свой сертификат.

Если вы должны использовать тот же сертификат для Postfix и Dovecot, но по какой-то причине вы хотите опубликовать разные имена хостов для двух (например, smtp.example.com и pop.example.com ), тогда вам нужен сертификат, который действителен для обоих имен хостов. Это можно сделать с помощью сертификата с несколькими именами или подстановочного ( *.example.com ) сертификата.


Кроме того, DNS RR MX (почтовый обменник) действительно применимы только для входящих SMTP-подключений к почтовому серверу, обрабатывающему почту для определенного домена, где удаленный почтовый сервер изначально знает только домен получателя. Это вполне справедливо, например, для

 example.com. MX 0 mail.example.com. mail.example.com. CNAME beta.example.com. beta.example.com. A 192.0.2.123 

хотя на самом деле не рекомендуется, потому что указание RR на неканоническое RR может привести к некорректному дросселю. Однако, если распознаватель удаленной системы принимает это (большинство из них делает), вышеупомянутое фактически так же, как если бы вы

 example.com. MX 0 mail.example.com. mail.example.com. A 192.0.2.123 

В обоих случаях удаленный MTA (агент передачи почты, в наши дни, почтовый сервер, говорящий на SMTP на другие почтовые серверы) будет подключаться к mail.example.com (потому что это имя хоста MX, как указано в MX RR), и поэтому ожидается, что сертификат будет действителен для mail.example.com.

Ваш MUA не будет советоваться с записями MX и не будет знать в любом случае; он будет консультироваться с адресом ( A , AAAA и в редких случаях, возможно, также A6 ; A6 RR устарели, но были использованы в течение некоторого времени для IPv6) записи любого имени хоста, которое вы даете ему в качестве входящего (POP / IMAP) или исходящего (SMTP) почтового сервера.

  • Что означает Chromium NET :: ERR_CERT_COMMON_NAME_INVALID?
  • Каковы недостатки использования policy_any в openssl.cnf?
  • cURL / wget - SSLv3, рукопожатие TLS, CERT зависает
  • Поддерживает ли fetchmail SSL или TLS при использовании SMTP для пересылки электронной почты?
  • ssldump: PCAP: синтаксическая ошибка
  • Команда Helo отклонена: требуется полное имя хоста
  • Не удается загрузить завиток
  • Создание сертификата * .local ssl
  • Хранилище корневых файлов FreeBSD 10
  • Как «получить» сайт HTTPS?
  • Когда FTP требует FTP через TLS, это FTPS?
  • Linux и Unix - лучшая ОС в мире.