나는 그것을 짧게 유지하려고 노력할 것입니다. beta.example.com이 내 서버를 메일 서버로 사용하도록 하고 싶습니다. 나는 dovecot과 postfix가 인증서에 대해 한 줄만 가지고 있음을 봅니다. 그래서 나는 mail.example.com에 대해 완벽하게 유효한 인증서를 만들었습니다. Thunderbird를 사용하여 메일 서버(beta.example.com)에 연결하려고 했지만 인증서가 mail.example.com에 속한다는 잘못된 도메인 경고가 표시되었습니다. 내가 어디서 엉망이 되었나요? mx 레코드에는 mail.example.com이 있으므로 인증서가 mail.example.com에 대한 것임을 알아야 하지 않습니까? 예외를 추가했지만 여전히 실패합니다(비밀번호를 묻는 메시지가 표시된 후). 내 서버를 살펴보니 Thunderbird가 잘못된 인증서 데이터를 공급하고 있기 때문에 dovecot이 연결을 거부하는 것 같습니다.
답변1
인증서의 진정한 목적, mail.example.com즉 예상한 것과 다른 서버에 대한 우발적인 연결을 방지하는 것입니다 beta.example.com. 연결하려는 도메인에 대해 발급된 인증서를 구성해야 합니다. 메일 클라이언트가 연결하는 경우 beta.example.com인증서가 필요합니다 beta.example.com.
다른 인증서를 얻거나 beta.example.com이를 주체 대체 이름으로 사용하거나 mail.example.comIP를 가리킵니다 beta.example.com.
답변2
클라이언트가 에 연결하도록 구성되었습니다 mail.example.com.
(인증서에서) 클레임에 연결하는 서버입니다 beta.example.com.
mail.example.com과 은(는) 동일하지 않기 때문에 beta.example.com고객은 불일치에 대해 불평합니다.이것은 전적으로 의도적으로 설계된 것입니다.
작동하게 하려면,클라이언트가 가리키는 호스트 이름과 일치하는 주체 대체 이름이 포함된 인증서를 제공하도록 메일 서버를 구성해야 합니다.호스트 이름이 궁극적으로 IP 주소로 확인되는 방법은 중요하지 않습니다.
과거에는 인증서의 일반 이름 필드에 호스트 이름을 입력했지만 이 방식은 더 이상 사용되지 않습니다. 원하는 경우 호스트 이름을 인증서의 CN으로 계속 사용할 수 있지만 최상의 호환성을 위해서는 다음이 필요합니다.반품SAN이라고 생각해보세요. CSR에서 직접 이 작업을 수행하지 않으면 대부분의 CA가 CN을 SAN으로 서비스로 제공할 것이라고 생각하지만 일부는 인증서를 확인하지 않을 수도 있습니다.
꼭 사용해야 한다면동일한 인증서Postfix 및 Dovecot의 경우, 어떤 이유로든 원하는 경우다른 호스트 이름둘 다(예: smtp.example.com및 pop.example.com)에 대해 게시하려면 관련된 두 호스트 이름 모두에 유효한 인증서가 필요합니다. 이는 다중 호스트 이름 인증서 또는 와일드카드( *.example.com) 인증서를 사용하여 수행할 수 있습니다.
반품,MX(메일 교환) DNS RR은 실제로 특정 도메인의 메일을 처리하는 메일 서버에 대한 수신 SMTP 연결에만 관련됩니다. 여기서 원격 메일 서버는 처음에는 수신자 도메인만 알고 있습니다.예를 들어, 이것은 완벽하게 유효합니다.
example.com. MX 0 mail.example.com.
mail.example.com. CNAME beta.example.com.
beta.example.com. A 192.0.2.123
실제로 권장되는 것은 아니지만 RR을 비정규 RR로 지정하면 일부 파서를 차단할 수 있습니다. 그러나 원격 시스템의 파서가 이를 수락하면(대부분의 경우) 위의 내용은 사실상 사용자가 가지고 있는 것과 동일합니다.
example.com. MX 0 mail.example.com.
mail.example.com. A 192.0.2.123
두 경우 모두 원격 MTA(메일 전송 에이전트, 현대에는 다른 메일 서버와 SMTP 통신을 수행하는 메일 서버)가 mail.example.com(RR에 지정된 MX 호스트 이름이기 때문에)에 연결하므로 유효한 mail.example.com에 대한 인증서가 필요합니다.
MUA는 MX 레코드를 쿼리하지 않습니다.어쨌든 모릅니다. 수신(POP/IMAP) 또는 발신(SMTP)으로 지정한 호스트 이름의 주소를 쿼리합니다. A이는 AAAA드물지만 A6 RR은 더 이상 사용되지 않지만 IPv6에서는 한동안 사용됩니다. A6메일 서버를 기록합니다 .