我想为一些运行 SSL 和/或 TLS 邮件服务的 linux 邮件服务器发布非自签名 SSL 证书。(如果相关,这些是 dovecot+sendmail 服务器。)
我需要覆盖通常的 {mail,smtp,smtp2,imap,pop3,...}@dom.ain 服务器名称,所以我很自然地想到了购买通配符 *@dom.ain。(UC 似乎没有必要,它们都来自同一个 dom.ain 名称)
我已经为很少或没有问题的网站这样做了,但我想知道邮件使用是否有任何不同 - 从客户的角度来看 - 因为主要目标是避免客户端软件抱怨自签名证书的问题。
干杯,阿尔夫
通配符证书应该没问题!客户问题非常罕见。只需确保包含整个证书链(中间证书),以避免旧硬件/手机出现问题。
设置取决于邮件服务器,但我不记得有任何兼容性问题或类似问题。使用 Dovecot 设置 SSL 相当简单,大多数 MTA 也是如此。Postfix 和 Dovecot 工作得很好,即使使用旧的 sendmail,我也不会期待严重的问题。
还要记住选择一个好的密码套件。除非您的组织的指导方针涵盖您可能会发现 www.bettercrypto.org 有帮助。