我目前正在使用服务于一个邮件域mycompany.com的自签名证书的邮件服务器,邮件服务器是mail.mycompany.com,证书的CN也是如此。 现在,我需要添加一个新的域名。 新的域名是mycompany.net到同一台服务器。
由于用户已经拥有旧证书的根,所以我想重复使用。 但是,我想发出一个新的证书,以便使用来自mail.mycompany.net的Outlook / Thunderbird的SMTP用户不会收到警告。 如果我理解正确,如果我发出一个CN = mail.mycompany.com和subjectAltName = DNS:mail.mydomain.net的新证书并且有postfix服务这个,那么客户端不会抱怨这个cn不匹配目标主机名。 在这个假设中,我是否正确?还是我误解了主体替代名的概念?
为了避免对话,我不希望mycompany.net地址上的用户使用mycompany.com服务器,因为我可能(而不是技术问题)必须分成两个不同的位置,而且我想生成一个易于迁移的设置。
您需要将subjectAltName设置为您要使用的所有DNS(或IP)条目。 在你的情况下,这将是
subjectAltName=DNS:mail.mydomain.net,DNS:mail.mycompany.com CN实际上在RFC中被弃用,完全可以忽略。 如果使用它,则必须将其设置为subjectAltName扩展名的任一值。
注:我在这里谈论RFC2818 ,它定义了HTTP over TLS。 但是既然SMTP和通用TLS RFC都没有提到用于名称匹配的证书字段,这是我所知道的最好的select。