Certyfikat a poczta postfix/dovecot

Konfiguracja serwerów, usług, itp.
mojnik
Posty: 92
Rejestracja: 10 maja 2013, 12:54

Certyfikat a poczta postfix/dovecot

Post autor: mojnik » 10 sierpnia 2018, 09:13

Wygenerowałem certyfikaty dla domeny mail.domena.pl przy pomocy letsencrypt, podałem ścieżki w plikach konfiguracyjnych obu programów.

Problem polega na tym, że jak chce się połączyć przez IMAP np. w aplikacji google na androidzie, to wyskakuje błąd "niezgodność podmiotu i nazwy hosta certyfikatu". Co prawda można wysyłać/odbierać pocztę, nawet przez phpMailer, jednak jak to powinno być zrobione dobrze i czy w ogóle letsencrypt może być tu brany pod uwagę?

Awatar użytkownika
pawkrol
Moderator
Posty: 918
Rejestracja: 03 kwietnia 2011, 10:25

Re: Certyfikat a poczta postfix/dovecot

Post autor: pawkrol » 10 sierpnia 2018, 12:19

Co masz w CN certyfikatu i na jaki adres się łączysz ?

mojnik
Posty: 92
Rejestracja: 10 maja 2013, 12:54

Re: Certyfikat a poczta postfix/dovecot

Post autor: mojnik » 11 sierpnia 2018, 09:28

Generowałem go tak:

Kod: Zaznacz cały

letsencrypt certonly --standalone -d mail.domena.pl
i z takim adresem się łączę, zastanawiam się jak zrobić, sub domeny tak jak mają duże portale np. imap.wp.pl, smtp.wp.pl itd? Aby te wartości podać w programach

Awatar użytkownika
pawkrol
Moderator
Posty: 918
Rejestracja: 03 kwietnia 2011, 10:25

Re: Certyfikat a poczta postfix/dovecot

Post autor: pawkrol » 11 sierpnia 2018, 14:06

Generalnie jest tak, że CN musi być takie samo jak url na który się łączysz. Można podać inny CN np: "Serwer Pocztowy", ale wtedy url umieszczasz w SAN certyfikatu.
Pokaż ten certyfikat. W wolnej chwili zerknę, czy na pewno wszystko się zgadza. Bo błąd, który podajesz ma związek właśnie z niezgodnością tych nazw.
Polecam wygenerować sobie certyfikat typu wildcard z letsencrypt. Nie musisz wtedy tworzyć osobnych certyfikatów pod każdą subdomenę.

Co do nazw typu smtp.wp.pl, imap.wp.pl to z grubsza kwestia tylko odpowiedniego certyfikatu (wildcard załatwia sprawę), odpowiednich wpisów w dns oraz dobrze by było, aby serwer smtp przedstawiał sie (HELLO) nazwą hosta, na który się łączysz tzn smtp.domena.pl

ODPOWIEDZ