Поддерживает ли SendMail сертификаты TLS с альтернативными именами субъекта?

Question

Поддерживает ли SendMail сертификаты TLS с альтернативными именами субъекта?

CentOS 5.x

У меня есть набор серверов sendmail, и я хотел бы использовать один и тот же сертификат для всех них (чтобы сэкономить время и текущие расходы). Будет ли это работать?

1

smtp email-server sendmail tls

Источник

Mike B 03 ноя '14 в 22:12

1 ответ

Решение

Другие вопросы по тегам smtp email-server sendmail tls

HBruijn 04 ноя '14 в 08:52 2014-11-04 08:52 · Accepted Answer · 2014-11-04 08:52

Насколько я знаю, поддержка альтернативных имен субъектов - это прежде всего проблема на стороне клиента. Там записи SAN должны быть проверены, когда имя хоста запроса не соответствует общему имени в сертификате.

Я думаю, что Sendmail просто загружает и представляет сертификат, и ему даже не нужно интерпретировать закодированные там записи SAN.

Но даже если требуется некоторая поддержка на стороне сервера, это может быть получено из библиотеки OpenSSL, которая поддерживает расширения X509 V3 (включая альтернативные имена субъектов) начиная с OpenSSL 0.9.2. RHEL 5 кораблей с 0,9,8 IIRC

Я бы даже рискнул предположить, что большинство SMTP-серверов просто используют SSL для обеспечения безопасности транспорта и по умолчанию не выполняют никакой проверки, если общее имя сертификата (или альтернатива субъекта) совпадает с именем хоста, и просто используют предоставленный общедоступный сертификат независимо от этого.