TLS und mehere Domains

[weite]

Ich stehe gerade etwas auf dem Schlauch und hoffe das ihr mir weiter helfen könnt.
Wenn ich mehrere Domains auf dem Mailgateway eingerichtet habe, z.B. die Domain x.de, y.de und z.de. Dann kann ich über die Datei pmg-tls.pem ein Zertifikat hinterlegen, sagen wir für Domain x.de. Das funktioniert auch soweit. Doch wie kann ich jetzt für y.de und z.de ein Zertfikat hinterlegen?
Über einen kleinen Anstoss in die richtige Richtung würde ich mich sehr freuen.

 

[Stoiko Ivanov]

Prinzipiell kann ein Zertifikat ausgestellt werden, das für viele Domains gültig ist (das Stichwort hier ist SAN (Subject Alternate Name)) - Wie das konkret gemacht wird hängt von der CA ab, die das Zertifikat dann letztlich signiert.

PMG hat 2 Orte bei denen Zertifikate signifikant sind:
a) die API (über die auch das Webinterface unter https://<pmg-name-oder-ip>:8006) angesprochen wird (/etc/pmg/pmg-api.pem)
b) das SMTP STARTTLS Zertifikat (/etc/pmg/pmg-tls.pem)


Bei b) ist es in der Praxis (leider) so, dass die Zertifikate ganz selten auf Gültigkeit überprüft werden (ein grosser Anteil an Mailservern hat entweder gar keines konfiguriert oder ein selbst signiertes, da bringt das Vergleichen des DNS-Namens auch relativ wenig) - sprich da sollte es mit einem Zertifikat für x.de auch getan sein.

Bei a) ist es so, dass es normalerweise nicht so viele User sind - sprich da ist es wahrscheinlich ok alle auf https://x.de:8006 zu schicken.

Ich hoffe das hilft!

 

[weite]

Vielen Dank! Das hilft mir auf jeden Fall weiter.