Kann ich dasselbe SSL-Zertifikat für SMTP, IMAP, Pop3 und http verwenden?

7

Bisher verwende ich selbstsignierte Zertifikate, habe mich aber entschlossen, zumindest das "echte" zu erwerben.

Bisher habe ich festgestellt, dass die internen Formate der Zertifikate etwas anders sind, das heißt:

  • Das http (nginx) -Zertifikat enthält nur den CERTIFICATE-Teil (mit Base64-codiertem Inhalt) und KEY mit ebenfalls nur Base64-Inhalt
  • Die CRT-Datei smtp (exim) enthält Textinformationen zum Zertifikat (Aussteller, Betreff, Algorithmus, Datum usw.) sowie den CERTIFICATE-Block mit base64-Daten, während die .key-Datei für exim nur den Base64-codierten Schlüssel enthält
  • Die PEM-Datei imap / pop3 (Kurier) enthält den Schlüssel (base64), die Zertifikatinformationen (in Textform) und das Zertifikat selbst (base64).

Kann ich ein "Web" -Zertifikat von thawte oder einem Unternehmen wie diesem erhalten und daraus (und in der Schlüsseldatei) alle Formate generieren, die ich für nginx, exim4 und courier benötige, oder muss ich separate Zertifikate erhalten, oder ist es etwas? sonst ganz?


quelle

Antworten:

10

Die kurze Antwort lautet: Ja, für alle diese Dienste kann ein einziges Zertifikat verwendet werden.

Der Schlüssel und das Zertifikat können in vielen Formaten gespeichert werden. Mit dem openssl-Tool können Sie Ihren Schlüssel und Ihr Zertifikat in andere Formate konvertieren.

Die eigentliche Barriere besteht darin, dass Sie ein Zertifikat erhalten, das für alle Namen gültig ist, die Sie verwenden möchten. Für Ihr Web möchten Sie möglicherweise www.example.com verwenden, und für Ihre E-Mails möchten Sie möglicherweise mail.example.com verwenden. Sie können ein Platzhalter- oder SAN-Zertifikat erhalten, das viele Namen abdeckt, aber diese kosten mehr. Es kann billiger sein, ein paar Einzelzertifikate zu bekommen. Die Preise für verschiedene Zertifikate sind unterschiedlich. Nehmen Sie sich also etwas Zeit und überlegen Sie, was in Ihrem Fall günstiger ist.

Zoredache
quelle
guter Punkt über den Hostnamen und Platzhalter.
malcolmpdx
4

Im Allgemeinen ja, obwohl es einige Arbeit mit verschiedenen Tools erfordern kann, um das Zertifikat in das richtige Format zu konvertieren. Ich habe das gleiche SSL-Zertifikat mit Apache, Dovecot (Imaps) und Postfix (für TLS) verwendet.

openssl (zusammen mit dem einfachen Zusammenfügen von Zertifikat und Schlüssel in derselben Datei) hat das bereitgestellt, was ich dazu brauchte.

Die Besonderheiten variieren, aber ich bin der festen Überzeugung, dass Sie ein signiertes SSL-Zertifikat tatsächlich in das von Ihnen benötigte Format konvertieren können, und mir sind keine Ausnahmen in den von Ihnen genannten Anwendungsfällen bekannt.

malcolmpdx
quelle
1

Wir verwenden derzeit ein Wildcard-Zertifikat für alle unsere Dienste. Wie bereits erwähnt, benötigen Sie lediglich openssl, um es in die für Ihre Anwendungen erforderlichen Formate zu konvertieren. Bisher verwenden wir es für Apache httpd, OpenLDAP und Mail (Zimbra). Früher haben wir Zertifikate von Thawte gekauft, aber für dieses haben wir uns für GoDaddy entschieden - es ist viel billiger.

dtoubelis
quelle