Mails, SSL und mehrere Domains

[counteam]

Hallöle'chen

Ich möchte (ich denke mal nächsten Monat) zwei Wildcard Zerti's für zwei Domains kaufen. Bis dato verwende ich noch selfsigned-Mist.

Da ich die Zertifikate so oder so benötige, hatte ich nun vor gehabt, diese dann auch für den Mailserver zu verwenden (Im Einsatz ist Doovecot und Postfix).

Meine Frage wäre nun:
Kann (je nach Domain) automatisch ein SSL-Cert gewählt werden, oder muss ich das irgendwie anders lösen?

Meine Idee wäre folgendes:

smtpd_tls_cert_file = /etc/postfix/sslcert/${domain}.crt
smtpd_tls_key_file = /etc/postfix/sslcert/${domain}.key

Ob dit natürlich geht, weiß ich natürlich nicht - deshalb frage ich ja.

Oder wie gehe ich bei "mehreren" Domains mit eigenständigen Zertifikaten am besten um?

 

[Lord Gurke]

Postfix kennt die Domain nicht, über die verbunden wird - denn anders als bei HTTP wird dem Server nicht mitgeteilt welchen Hostname man aufgerufen hat.
Oder kurz: Geht nicht, so etwas kann man höchstens mit mehreren Postfix-Instanzen auf verschiedenen Ports oder IP(v6)-Adressen lösen.

 

[counteam]

Okay, wäre ja auch zu schön.
Hab nun mal nach SSL-Zertifikaten geschaut und bin da auf etwas gestoßen: Wildcard bzw. SAN-Zertifikate

Wäre es vielleicht hiermit möglich?
Denn bei einem SAN-Zerti sind ja die Domains in einem Zerti untergebracht - Wäre des eine möglichkeit?

 

[Lord Gurke]

Das wäre eine Möglichkeit, die Frage ist nur ob sich der Aufwand und die Kosten lohnen. Und denke daran: Wenn du eine neue Domain dem Mailserver hinzufügst kannst du diese dem Zertifikat nicht nachträglich als zusätzlichen SAN-Host beibringen!

 

[vb-server]

StartSSL, 49$ für 2 jahre incl unlimitiert Wildcard Certs bzw solche mit mehreren Domains drin.

 

[counteam]

Naja, kosten eher weniger bzw. fast nichts - Wer hunderte Euros ausgibt ist schlichtweg dumm ^^. Hab ein relativ günstigen Anbieter gefunden und mit dem ausgehandelt (44 €/Jahr für Wildcard)

Im übrigen: Bei SSL-Zertis immer verhandeln! Die ganzen Anbieter, die existieren, kriegen die ganzen Zertis hinterhergeschmissen (Meistens 35,00 € - 40,00 € - Des weiß ich aus dem Grund, weil ich für einen Hoster mal gearbeitet hatte) und verticken die dann teuer an den Kunden.

So habe ich des auch als Begündung bei dem Anbieter networking4all dargelegt
Anstatt 149 € zahle ich also nun nur 44 €.

 

[Lord Gurke]

Es bleibt trotzdem noch das Problem dass du jedes Mal das Zertifikat mit allen SANs neu ausstellen lassen musst, wenn mal eine neue Domain hinzukommt

 

[counteam]

Ja, derartiges wird sich aber nicht verhindern lassen. Zumal es eh alle jubel jahre passiert, dass ich neue Domains auf dem Server binde ^^