qmail-pop3s поддерживает несколько сертификатов SSL?
Текущая установка:
1. Я работаю на компанию поставщика Почтового сервиса.
2. У нас есть несколько почтовых серверов, на которых мы используем qmail для доставки почты.
3. Каждый сервер размещает несколько различных доменов для нескольких клиентов.
4. Каждый сервер работает индивидуально.
5. Конечные пользователи используют qmail-поп-сервис для выборки писем с сервера и qmail-smtp сервиса для отправки писем.
6. Каждое клиентское использование там владеет URL для соединения с сервером.
Например, Mithi Software будет использовать mailxf.mithi.com, который указывает на нашего почтового сервера.
Требование:
Я хочу включить qmail-pop3s сервис для конечного пользователя так, чтобы они могли соединиться с сервером по безопасному каналу.
Проблема:
Согласно моему знанию qmail-pop3s сервис принимает только единственный сертификат SSL. Поскольку у нас есть несколько клиентов, размещенных на единственном сервере, и каждый клиент предоставляет там собственный сертификат. Я хочу использовать все, что они сертифицируют так, чтобы весь клиент мог получить доступ, ВЫТАЛКИВАЕТ сервис.
Ожидаемый результат:
Наши все клиенты должны смочь получить доступ к qmail-pop3s сервису по безопасному каналу с, там разделяют URL (CN в сертификатах SSL).
То, что вы ищете, называется Server Name Indication, которое определено в rfc3546 section 3.1.
Я не верю, что qmail поддерживает SNI. Однако это возможно, если он скомпилирован с соответствующей TLS библиотекой. Почтовый клиент также должен будет поддерживать SNI. Я не знаю ничего подобного, но это не то, что я рассматривал раньше.
Использование подстановочного сертификата будет работать, если все имена, как ожидается, будут поддоменом вашего домена. Это mail-company1.example.com, mail-company2.example.com, sntp-company1.example.com и т.д.
Не думаю, что это вполне возможно. Почтовый сервер или pop3d в данном случае не может знать заранее, к какому конкретному домену подключается пользователь, чтобы выбрать подходящий сертификат для этого единственного соединения.
Поскольку невозможно использовать один сертификат, одной из идей было бы установить несколько pop3d экземпляров для каждого клиента, каждый из которых прослушивает свой порт (995,996 и т.д.), чтобы каждый из них мог иметь свой собственный SSL сертификат, присвоенный ему.