我运行一个站点,并安装有效的通配符证书来提供HTTPS页面。 我只是在我的Ubuntu主机上设置了后缀,默认情况下它的configuration包括:
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key 我可以将这些snakeoil证书更改为我购买的证书吗? 如果可以的话,我应该吗?
这取决于你想要的和你的设置细节。
smtpd服务:如您所知,证书具有通用名称(CN),持有有效的域名。 说这个example.com和*.example.com ,作为针对Web的证书的典型案例。
如果邮件服务器的主机名为mail.example.com (MXlogging中的域很重要),则邮件服务器提供的证书对example.com有效,包括子域名和validation(如果完成)成功。 如果邮件服务器(MXlogging中的邮件服务器)的主机名不匹配(例如, externalservice.example.net ),则会失败。
在自签证书的情况下,CN有希望与FQDN匹配,但绝对不是由可信证书签名的。
所以这两个变种可能会失败。 请确定,邮件服务器的FQDN与证书的CN(或其他方式)相匹配。 另外,将证书链提供给根CA. 看到这个文件。
但不幸的是,对邮件服务器使用未签名和不可信任的自签名,过时或者没有证书是很常见的 。 只有less数运行中的邮件服务器拥有有效的证书。 最近我看到一个调查显示,只有5%或更less的证书有效,但目前我找不到。 稍后当我find它的时候会连接它。
在提交服务的情况下,validation更重要,因为真正的用户连接到服务,并可能会收到证书警告。 MUA将传入和传出邮件的configuration域与使用的CommonName进行比较。 和smtp一样适用于这里,但用户会抱怨,如果他们得到信任警告,或连接失败。 由于您拥有通配符证书,因此您可以安全地使用smtp.example.com作为这些types任务的主机名。 没有通配符,这并不容易。
你可以和你应该(除非你想使用主机特定的证书)。
从技术上讲,你可以使用任何你想要的证书,包括snakoil。 这只是另一个自签名的证书,不匹配的标识符。 但是,最好使用与合法客户端用于与主机联系的证书。 这取决于你的设置。 如果用户试图访问mail.example.com则证书应该与mail.example.com匹配。 如果他们试图访问example.com它应该匹配。 *.example.com与mail.example.com匹配,但不匹配example.com 。 不是我build议使用裸露的域名这种事情。
另外,你可能不想受到POODLE的影响。
smtpd_tls_protocols = !SSLv2, !SSLv3
如果您正在进行身份validation,则这一点更重要,但这是一个好主意。