6つのドメインを提供するように設定したいメールサーバーがあります。複数のメールユーザーがPOP3SまたはIMAPSを介してサーバーにアクセスします。
現在、MS Outlookは自己署名SSL証明書を使用しているため、未確認のSSL証明書警告が表示されます。この警告が表示されないようにSSL証明書を購入したいと思います。
各ドメイングループは、mail.theirdomain.comのような名前を受信メールサーバー名として使用したいと思います。 6つのドメインごとに証明書を購入せずにこれを行う方法はありますか?つまり、mail.maindomain.com用に1つを購入して別のDNS名を解決することができますか?
現在のDNSでは、mail.theirdomain.comにはmail.maindomain.comを指すCNAME設定があります。私はメールを受信するためにDovecotを実行し、メールを送信するためにSendmailを実行しています。 Debian 6 の最新バージョン。
答え1
複数のドメイン証明書を使用しましたが、名前が同じ組織の他のドメインである場合にのみ可能でした。これらの名前の所有権は同じ会社にさかのぼることができます。私が認証機関であれば、関係のない機関に同じサービスを提供したくないでしょう。
SMTP では、メールサーバーのドメインが元のメッセージのドメインと異なる場合がよくあります。 Dovecotはドメインログインをサポートしているため、[email protected]Dovecotサーバーに単一のドメインを使用しているかのように、ユーザーがIDを使用してログインできるようにします。まだ認定された証明機関によって署名された証明書のみが必要です。
私がしたように、署名証明書の公開鍵を公開することもできます。これにより、クライアントはキーを取得でき、ドメインが一致すると証明書が渡されます。自己署名証明書に代替名を追加してみませんでしたが、opensslそのような証明書をかなり簡単に生成することは可能です。
答え2
Bill Tolleの回答に同意します。単一のSAN(マルチドメイン)SSL証明書を使用して、6つのドメインをすべて保護できます。 GeoTrust True BusinessID マルチドメイン証明書が最善の選択となります。
サーバーを保護するために自己署名証明書を使用すると、サーバーは盗聴、アイデンティティの盗難、偽のメッセージ、メッセージの変更など、さまざまなオンライン攻撃に対して脆弱になる可能性があります。したがって、SANが証明書を発行する信頼できるCAを選択することをお勧めします。