Hallo Leute,
ich hab mehrere Domains auf meinem Server und jede Domain soll ihr eigenes Zertifikat bekommen. Exim hat aber nur eine globale Option für das Zertifikat. Per Google habe cih auch schon rausgefunden, dass man je IP ein Zertifikat nutzen kann aber nicht per Domain.
Kennt da einer eine Möglichkeit?
Exim TLS: Je Domain ein Zertifikat
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Exim TLS: Je Domain ein Zertifikat
Außer der genannten Möglichkeit, für jede Domain eine eigene IP-Adresse, gibt es keine. SMTP kennt so etwas wie VirtualHosts bzw. den Host-Header von HTTP nicht und die Verbindung wird verschlüsselt, bevor der MTA die "Zieldomain" im RCPT TO mitgeteilt bekommt.ponchofiesta wrote:Kennt da einer eine Möglichkeit?
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
Re: Exim TLS: Je Domain ein Zertifikat
Na gut, dann muss es wohl über die IPs gehen.
Danke
Danke
-
daemotron
- Administrator
- Posts: 2641
- Joined: 2004-01-21 17:44
Re: Exim TLS: Je Domain ein Zertifikat
Na ja, mit Einschränkung gehen auch folgende Möglichkeiten:
- Wildcard-Zertifikat:Bei der Erstellung der Cert-Requests gibts Du als CN *.domain.tld an - damit "funktionieren" dann alle Subdomains von domain.tld (außer mit Outlook 2007 beta2 - das kommt mit Wildcard-Certs noch nicht klar)
- Multi-Domain-Zertifikate:Der CN wird bei der Erstellung des Cert-Requests ganz normal angegeben (z. b. smtp.domain.tld). Zusätzlich können über beliebig viele zusätzliche Domains eingefügt werden, für die das Zertifikat gültig sein soll (siehe OpenSSL-Dokumentation) Allerdings müssen dafür Server und v. a. Client den X.509-Standard in Version 3 beherrschen, was insbesondere bei älteren E-Mail-Clients nicht der Fall ist (alte Outlook-/Outlook Express Versionen, Netscape 4.x, etc.)
Code: Select all
subjectAltName=DNS:smtp.domain2.tld subjectAltName=DNS:smtp.domain3.tld [...]
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
Re: Exim TLS: Je Domain ein Zertifikat
Das Multi-Domain-Zertifikat klingt vielversprechend. Wir werden das mal testen. Danke.
-
felixs
- Posts: 119
- Joined: 2003-06-01 20:57
Re: Exim TLS: Je Domain ein Zertifikat
Bei TLS gibt es die "Server Name Indication", die genau dieses Problem lösen soll. Allerdings wird dies bislang nur sehr spärlich unterstützt.
Ich habe den entsprechenden Eintrag im CAcert-Wiki vor ein paar Monaten mal auf Vordermann gebracht: http://wiki.cacert.org/wiki/VhostTaskFo ... 2e843c2cb3
fs
Ich habe den entsprechenden Eintrag im CAcert-Wiki vor ein paar Monaten mal auf Vordermann gebracht: http://wiki.cacert.org/wiki/VhostTaskFo ... 2e843c2cb3
fs