smtp、imap、pop3、httpに同じSSL証明書を使用できますか?
これまで私は自己署名証明書を使用していますが、少なくとも「本物の」証明書を取得することを検討することにしました。
これまでのところ、証明書の内部形式が少し異なることに気づきました。つまり、次のとおりです。
- http(nginx)証明書にはCERTIFICATE部分(base64でエンコードされたコンテンツを含む)のみが含まれ、KEYにはbase64コンテンツのみが含まれます
- smtp(exim)crtファイルには、証明書のテキスト情報(発行者、件名、アルゴリズム、日付など)に加えて、base64データを含むCERTIFICATEブロックが含まれますが、eximの.keyファイルにはbase64でエンコードされたキーのみが含まれます。
- imap/pop3(courier).pemファイルには、キー(base64)、証明書情報(テキスト)、および証明書自体(base64)が含まれています。
Thawteまたはこのような会社から「Web」証明書を取得できますか?これ(およびキーファイル)から、nginx、exim4、およびcourierに必要なすべての形式を生成できますか、それとも個別の証明書を取得する必要がありますか、それとも何かですか?他に完全に?
簡単に言えば、はい、単一の証明書をこれらすべてのサービスに使用できます。
キーと証明書はさまざまな形式で保存でき、opensslツールを使用してキーと証明書を他の形式に変換できます。
本当の障壁は、使用したいすべての名前に有効な証明書を取得できるかどうかです。 Webの場合はwww.example.comを使用し、メールの場合はmail.example.comを使用することをお勧めします。ワイルドカードまたはSAN証明書で多くの名前をカバーできますが、これらはより多くの費用がかかります。いくつかの個別の証明書を取得する方が安い場合があります。証明書ごとに価格が異なるため、しばらく時間をかけて、あなたの場合はどちらが安くなるかを考えてください。
一般的に言って、はい。ただし、証明書を適切な形式に変換するには、さまざまなツールを使用するのに少し手間がかかる場合があります。 Apache、dovecot(imaps)、postfix(TLSの場合)で同じSSL証明書を使用しました。
openssl(証明書とキーを同じファイルにまとめるだけで)は、それを行うために必要なものを提供してくれました。
詳細はさまざまですが、署名されたssl証明書を実際に必要な形式に変換できると私は強く考えており、あなたが言及したユースケースの例外については認識していません。
現在、すべてのサービスにワイルドカード証明書を使用しています。すでに述べたように、アプリケーションに必要な形式に変換するために必要なのはopensslだけです。これまでのところ、Apache httpd、OpenLDAP、およびメール(Zimbra)に使用しています。以前はThawteから証明書を購入していましたが、今回はGoDaddyを使用しました。これははるかに安価です。