Exim TLS: Je Domain ein Zertifikat

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
ponchofiesta
Posts: 48
Joined: 2005-12-07 12:25
Location: Luckau

Exim TLS: Je Domain ein Zertifikat

Post by ponchofiesta » 2006-10-22 19:00

Hallo Leute,

ich hab mehrere Domains auf meinem Server und jede Domain soll ihr eigenes Zertifikat bekommen. Exim hat aber nur eine globale Option für das Zertifikat. Per Google habe cih auch schon rausgefunden, dass man je IP ein Zertifikat nutzen kann aber nicht per Domain.

Kennt da einer eine Möglichkeit?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Exim TLS: Je Domain ein Zertifikat

Post by Roger Wilco » 2006-10-22 19:08

ponchofiesta wrote:Kennt da einer eine Möglichkeit?
Außer der genannten Möglichkeit, für jede Domain eine eigene IP-Adresse, gibt es keine. SMTP kennt so etwas wie VirtualHosts bzw. den Host-Header von HTTP nicht und die Verbindung wird verschlüsselt, bevor der MTA die "Zieldomain" im RCPT TO mitgeteilt bekommt.

ponchofiesta
Posts: 48
Joined: 2005-12-07 12:25
Location: Luckau

Re: Exim TLS: Je Domain ein Zertifikat

Post by ponchofiesta » 2006-10-22 20:25

Na gut, dann muss es wohl über die IPs gehen.
Danke

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Exim TLS: Je Domain ein Zertifikat

Post by daemotron » 2006-10-22 22:15

Na ja, mit Einschränkung gehen auch folgende Möglichkeiten:
  • Wildcard-Zertifikat:Bei der Erstellung der Cert-Requests gibts Du als CN *.domain.tld an - damit "funktionieren" dann alle Subdomains von domain.tld (außer mit Outlook 2007 beta2 - das kommt mit Wildcard-Certs noch nicht klar)
  • Multi-Domain-Zertifikate:Der CN wird bei der Erstellung des Cert-Requests ganz normal angegeben (z. b. smtp.domain.tld). Zusätzlich können über

    Code: Select all

    subjectAltName=DNS:smtp.domain2.tld
    subjectAltName=DNS:smtp.domain3.tld
    [...]
    beliebig viele zusätzliche Domains eingefügt werden, für die das Zertifikat gültig sein soll (siehe OpenSSL-Dokumentation) Allerdings müssen dafür Server und v. a. Client den X.509-Standard in Version 3 beherrschen, was insbesondere bei älteren E-Mail-Clients nicht der Fall ist (alte Outlook-/Outlook Express Versionen, Netscape 4.x, etc.)

ponchofiesta
Posts: 48
Joined: 2005-12-07 12:25
Location: Luckau

Re: Exim TLS: Je Domain ein Zertifikat

Post by ponchofiesta » 2006-10-23 10:59

Das Multi-Domain-Zertifikat klingt vielversprechend. Wir werden das mal testen. Danke.

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: Exim TLS: Je Domain ein Zertifikat

Post by felixs » 2006-10-24 19:33

Bei TLS gibt es die "Server Name Indication", die genau dieses Problem lösen soll. Allerdings wird dies bislang nur sehr spärlich unterstützt.

Ich habe den entsprechenden Eintrag im CAcert-Wiki vor ein paar Monaten mal auf Vordermann gebracht: http://wiki.cacert.org/wiki/VhostTaskFo ... 2e843c2cb3

fs