我们目前在我们的Exchange使用安全的OWA,但也不安全和未encryption的SMTP,POP3和IMAP。 我们将这些映射到smtp.domain.com,pop.domain.com和imap.domain.com,而对于OWA @ IIS,我们使用为secured.domain.com发布的公开信任的证书。 我知道一个解决scheme是获取多个域的一个证书。 但是,如果这不是一个select呢? 如何在没有通用证书的SMTP,POP和IMAP等经典邮件服务上实现TLS? 我也想在我们的DNS中保留别名smtp,pop和imap,以防止用户访问这些服务。 所以我们应该以某种方式从例如smtp.domain.comredirect到secured.domain.com。
Exchange可以为这些服务生成自己的自签名证书。 他们应该为TLS工作得相当好(虽然一些TLS同行可能会拒绝自签名证书),并且根据您的用户群,这也可能适用于POP和IMAP。
但总体来说,要为您想提供的服务生成一个带有适当SAN的证书,会更简单一些。 如果你能解释为什么这可能不是一个选项,它会帮助我们提出一个更好的解决scheme。