RootForum Community

Ich habe ein Zertifikat auf den Domainname der auch in der main.cf eingetragen ist erstellt z.B. mail.domain.tld

Das Problem dabei ist, das es für die Domain funktioniert, will ich nun TLS für eine andere Domain im Client aktivieren: Gibt es einen Weg ein Zertifikat zu erstellen welches in Courier und Postfix für alle Domains gilt?
Muss ich dazu als CN: localhost eingeben ???

Für Courier habe ich die certs so erstellt: und wie gesagt den Domainname (aus main.cf) mail.domain.tld bei CN angegeben.

Nein, Zertifikate sind an einen bestimmten Host(namen) gebunden. Einzige Lösung: bei den ganzen anderen Domains Deinen vergebenen Hostnamen (mail.deine-domain.tld oder wie auch immer) als MX-Record eintragen und Deinen Kunden sagen, dass sie auf diesen Server zugreifen sollen.

Du kannst ein bisschen pfuschen und CN=*.deine-domain.tld für das Zertifikat verwenden ("Wildcard-Zertifikat), aber IE >= 7 und Outlook >= 2007 z. B. verweigern dann auch die Zusammenarbeit (während die Mozilla-Produkte und ältere Microsoft-Programme problemlos damit umgehen können). Andere Möglichkeit: Multi-Domain-Zertifikate. Wie man die erstellt, war hier schon mal irgendwo Gegenstand eines Threads.

Danke - habe ich mir schon gedacht.
Ich suche mal nach der Multi-Domain Lösung :-)

jfreund wrote:Nein, Zertifikate sind an einen bestimmten Host(namen) gebunden. Einzige Lösung: bei den ganzen anderen Domains Deinen vergebenen Hostnamen (mail.deine-domain.tld oder wie auch immer) als MX-Record eintragen und Deinen Kunden sagen, dass sie auf diesen Server zugreifen sollen.

Du kannst ein bisschen pfuschen und CN=*.deine-domain.tld für das Zertifikat verwenden ("Wildcard-Zertifikat), aber IE >= 7 und Outlook >= 2007 z. B. verweigern dann auch die Zusammenarbeit (während die Mozilla-Produkte und ältere Microsoft-Programme problemlos damit umgehen können). Andere Möglichkeit: Multi-Domain-Zertifikate. Wie man die erstellt, war hier schon mal irgendwo Gegenstand eines Threads.

Falls es Dir weiterhilft:
http://www.openssl.org/docs/apps/x509v3 ... tive_Name_
http://www.rootforum.org/forum/viewtopic.php?t=43152
http://www.rootforum.org/forum/viewtopic.php?t=40806

Bei CACert sind die verschiedenen Möglichkeiten gut erklärt:
http://wiki.cacert.org/wiki/VhostTaskForce

Das hilft mir weiter :-)

Danke

jfreund wrote:Falls es Dir weiterhilft:
http://www.openssl.org/docs/apps/x509v3 ... tive_Name_
http://www.rootforum.org/forum/viewtopic.php?t=43152
http://www.rootforum.org/forum/viewtopic.php?t=40806