From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <hmepas@yauza.ru>
Message-ID: <4221C50A.80203@yauza.ru>
Date: Sun, 27 Feb 2005 16:03:06 +0300
From: "Pavel S. Khmelinsky" <hmepas@yauza.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040310
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] SSL cert for multidomain pop3 server
References: <4220A9A6.9030603@yauza.ru> <4220E006.4070303@gmail.com>
In-Reply-To: <4220E006.4070303@gmail.com>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sun, 27 Feb 2005 13:03:08 -0000
Archived-At: <http://lore.altlinux.org/community/4221C50A.80203@yauza.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Pavel Usischev wrote:
> Pavel S. Khmelinsky пишет:
> 
>> Задачка по SSL: есть почтовый сервер на нем крутятся два почтовых 
>> домена @yauza.ru и @rostokino.net , пользователям разных доменов в 
>> качестве pop3 выданы разные DNS имена: pop.yauza.ru и 
>> pop.rostokino.net соотв. .
>> Вопрос если оба домена обслуживаются одним демоном на какой домен 
>> выдавать SSL сертификат?
>> Если выдать на pop.yauza.ru то у пользователей pop.rostokino.net 
>> почтовый клиент будет верещать что сертифика не соотв. доменому имени 
>> and vice versa.
> 
> 
> Я взял за основу файл /etc/courier-imap/imapd.cnf и сделал из него такой:
> 
> #RANDFILE можно оставить как было
> 
> [ req ]
> default_bits = 1024
> encrypt_key = yes
> distinguished_name = req_dn
> x509_extensions = my_options
> prompt = no
> 
> [ req_dn ]
> C=RU
> L=Moscow
> O=My Company Name
> OU=Internet Mail Service
> CN=mail.primary-domain.ru
> 
> [ my_options ]
> nsCertType = server
> subjectAltName=@our_dns_names
> 
> [ our_dns_names ]
> DNS.1=mail.secondary-domain.ru
> DNS.2=mail.another-secondary-domain.ru
> DNS.3=mail.yet-another-secondary-domain.ru
> 
> Затем сгенерировал по нему сертификат с четырьмя доменными именами 
> почтового сервера.

Еще раз спасибо, все работает.
Немного раскажу что получилось у меня. У меня есть openssl.cnf по которому 
сгенерен CA. Этим CA я подписываю все ключи. В данном случае я скопировал 
openssl.cnf добавил туда мультидоменный строчки и по этому новому .cnf 
сгенерировал req уже по которому создал подписанный сертификат, подписывал 
используя старый openssl.cnf.

-- 
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru