Какой сертификат подойдет для почтового сервера?

Question

[Eastar]

Получил на свой домен ssl сертификат у регистратора. Подойдет ли он для postfix и dovecot? Или надо выпускать для поддомена mail.example.com? Если подойдет, то что скажут почтовые клиенты моим юзерам, когда самоподписной сертификат я заменю сертификатом регистратора? Или это пройдет для них незаметно?

Answer 1

[akelsey]

По сути вы можете воспользоваться любым сертификатом, т.к. решением акцептить данный сертификат или нет лежит на клиентском сервере. Логично предположить что клиентский (подключающийся) сервер ожидает в сертификате в SAN видеть разрешенный hostname к которому он подключается, по этому если он подключается к mail.example.com - логично было бы что бы в сертификате это имя присутствовало. Но даже если его там нет - то всё равно решение установить TLS или нет за подключаемой стороной.
Но с точки зрения здравого смысла, самоподписанный но с правильным Subject/SAN мне кажется более предпочтительным чем даже купленный, но не содержащий хостнейма почтового сервера.
Но в любом случае решать то вам.

Comments

[Eastar]

спасибо, понял вас.

[vanoc]

Зачем же самоподписанный когда есть letsencrypt

[Eastar]

vanoc: Да это было старое решение еще до лэтсэнкрипт, обновляю инфраструктуру попутно пытаясь разобраться...

Answer 2

[agniko]

При использовании сертификата от регистратора, нужно быть готовым через год его продлевать, уже за деньги. Я использую сейчас сертификат от LetsenCrypt.