3un*_*d80 5 ssl virtualhost ssl-certificate dovecot centos6
我正在尝试使用SSL设置多个vhosts的Dovecot.
我已经设置了我的主域名(example.de)和我的vhosts(example2.com&example3.co.uk)我正在使用本地-option.
我的问题:
当我连接到我的服务器时,它会在我的主要域名和其他域上抱怨错误的主机名(example3.co.uk).
如何让dovecot为每个主机使用正确的证书?
这是我的dovecot配置:
listen = *
ssl = yes
protocols = imap pop3
disable_plaintext_auth = no
auth_mechanisms = plain login
mail_access_groups = vmail
default_login_user = vmail
first_valid_uid = 2222
first_valid_gid = 2222
#mail_location = maildir:~/Maildir
mail_location = maildir:/home/vmail/%d/%n
passdb {
driver = passwd-file
args = scheme=SHA1 /etc/dovecot/passwd
}
userdb {
driver = static
args = uid=2222 gid=2222 home=/home/vmail/%d/%n allow_all_users=yes
}
service auth {
unix_listener auth-client {
group = postfix
mode = 0660
user = root
}
user = root
}
service imap-login {
process_min_avail = 1
user = vmail
}
ssl_cert = </etc/pki/tls/certs/example.de.crt
ssl_key = </etc/pki/tls/private/example.de.key
local ohmygodpresents.com {
ssl_cert = </etc/pki/tls/certs/example2.com.crt
ssl_key = </etc/pki/tls/private/example2.com.key
}
local ohmygodpresents.co.uk {
ssl_cert = </etc/pki/tls/certs/example3.co.uk.crt
ssl_key = </etc/pki/tls/private/example3.co.uk.key
}
如何让dovecot为每个主机使用正确的证书?
它不是Dovecot 本身.
客户端需要使用TLS 1.0或更高版本,并且需要使用服务器名称指示(SNI)扩展.否则,Dovecot不知道客户端在设置通道时尝试连接的虚拟服务器.
您可以使用OpenSSL复制/测试它s_client.例如,一个"好"的连接:
openssl s_client -tls1 -starttls smtp -connect mail.example.com:587 -servername mail.example.com
在上面的示例中,Dovecot将知道example.com在SSL/TLS连接启动时发送证书.即使STARTTLS在邮件中使用了扩展名,Dovecot 也不知道虚拟服务器,因为该RCPT命令尚未发送.由于该RCPT命令尚未发送,Dovecot不知道用户或他/她的域名.
这是一个"糟糕"的联系.它的SSLv3,所以它无法利用SNI(SNI是TLS扩展):
openssl s_client -ssl3 -starttls smtp -connect mail.example.com:587
这是另一个"糟糕"的联系.它的TLS 1.0,但它没有使用SNI:
openssl s_client -tls1 -starttls smtp -connect mail.example.com:587
您也可以使用Wireshark复制/测试/观察.SNI是以纯文本形式发送的ClientHello.因此,您将能够查看协议,密码套件,SNI等扩展以及其他参数.SSL/TLS的握手和密钥交换中的所有内容都是纯文本(有些人放弃了).发送消息后,将对完整文本消息进行完整性检查Finished.
您可以禁用SSLv2/SSLv3并强制使用TLS,对大多数客户端而言,事情将按预期工作.但是,客户端不必发送SNI扩展.Windows XP客户端将成为一个问题 - 它们使用TLS 1.0但省略了SNI.所以除了使用现代客户端之外别无他法.
您的另一个选择是创建"超级证书".也就是说,使用包含邮件服务器所服务的所有DNS名称的证书.在你的情况下,使用一个证书的SAN中DNS:3und80.de,DNS:ohmygodpresents.co.uk,DNS:example1.com等每次添加一个新的域或删除现有的域,您将获得一个新的证书.
| 归档时间: |
|
| 查看次数: |
4234 次 |
| 最近记录: |