Имеет ли значение заполнение названия страны, штата и т. д. при создании самоподписанного сертификата для Postfix?
Когда я настраиваю Postfix, мне нужно создать сертификат, потому что сертификат snakeoil, включенный в Postfix, предназначен исключительно для демонстрации. Я использую эту команду:
sudo openssl req -x509 -newkey rsa:4096 -sha512 -keyout postfix-key.pem -out postfix-cert.pem -days 3650
Это запрашивает у меня название страны, штата или провинции и т. Д.
Есть ли какая-то цель в контексте Postfix, с которой можно было бы беспокоиться о том, чтобы заполнить сертификат как можно точнее вместо использования значений по умолчанию? Я пытаюсь сделать свой сервер Postfix как можно более законным, чтобы избежать попадания в черный список и т. Д., Поэтому мне интересно, будет ли как можно более точное заполнение сертификата иметь какое-либо значение, например, при отправке электронной почты с моего сервера Postfix на Аккаунт Gmail.
Если вы счастливы, что эта информация находится в открытом доступе, заполнение ее не причинит никакого вреда. Однако в действительности нет необходимости транслировать эти данные (например, как как частное лицо, мне не нравится, когда такая информация публикуется в базе данных WHOIS). Для получения MTA для приема SMTP через TLS вам даже не нужно гарантировать, что полное доменное имя вашего почтового сервера указано в сертификате Common Name или DNS Names (Subject Alternative Name ), как требуется для HTTPS.
По моему опыту, детали сертификата X.509 не имеют никакого отношения к тому, рассматривает ли удаленный MTA соединения SMTP как законные. Я только что провел эксперимент, перенастроив свой сервер Postfix на использование сертификата X.509, срок действия которого истек 6 дней назад, и отправил несколько писем с его использованием. Все принимающие MTA приняли сообщения; Заголовки GMail подтвердили, что сообщение было получено через TLS 1.2.
Использование IP-адреса, не внесенного в черный список, и настройка SPF , DKIM, Обратный DNS с прямым подтверждением и другие связанные методы - лучший способ, чтобы ваша электронная почта рассматривалась как законная.
В настоящее время большинство почтовых серверов настроено на прием самозаверяющих сертификатов для SMTP через TLS, но это может не остаться дело в ближайшие годы. На всякий случай я проверяю, что полное доменное имя моего почтового сервера включено в DNS-имена сертификата (альтернативное имя субъекта) и что сертификат подписан (бесплатно) замечательным центром сертификации Let's Encrypt.
Оппортунистический TLS
Почтовые серверы обычно не требуют проверки «кто» вы; Таким образом, в большинстве случаев достаточно самоподписанного сертификата. Мой почтовый сервер регенерирует свои самоподписанные сертификаты ежечасно, потому что.
[snip]
openssl req -new -subj "/CN=${fqdn}" -key ${dir}/${ymd}.key -out ${dir}/${ymd}.csr
openssl x509 -req -days 2 -in ${dir}/${ymd}.csr -sha256 -CA ${dir}/${ymd}.ca.crt -CAkey ${dir}/${ymd}.ca.key -set_serial ${ymd} -out ${dir}/${ymd}.crt
Это отрывок из всего, что я когда-либо использовал. $ {ymd} - это просто дата для файла. $ {fqdn} - это DNS-имя моего почтового сервера.
В некоторых случаях отношения между бизнесом могут потребовать проверки того, кто вы. В этом случае вам может понадобиться подписанный сертификат или настроить общий общедоступный сертификат ЦС между вашими организациями, если вы не доверяете ЦС в вашем случае использования. Некоторые финансовые организации поступают так.
Нет причин помещать всю информацию в самоподписанный сертификат. Единственная причина в том, что пользователь хочет его проверить.