SSL сертификат. Разные сервисы. Один домен.

Подойдёт, но чем тебе Let's Encrypt не угодил?

А Let's_Encrypt оно дешевле, лучше?

Бесплатно. Сертификат на 3 месяца. wildcard нет там только. Обновление через cron можно сделать.

wildcard нет там только

а он для сторонних сервисов и не нужен для них все на mydomain.ru висит.

Попробую...

Ух ты, какой дешевый wildcard.

...или что-то надо учесть?

Нуу, в первую очередь, конечно, распространенность доверия к CA на целевых клиентских системах. Обычно этого достаточно, но исключения вполне возможны. Например, емнип, яблочные впн-клиенты обязательно требует непосредственное днс-имя в subjectAlternativeName, если его нет в CN.

openssl genrsa -out private.key 2048

Это ключ, а не CSR.

Да, попробую

распространенность доверия к CA

уточню у хозяйствующего субъекта про Let's Encrypt, хотя проще попробовать.

Certbot попробуй

letsencrypt+certbot
Для каждого сервиса сделать отдельный поддомен и соответствующий этому поддомену сертификат.

Certbot попробуй

Прочел пруф Как настроить SSL используя Certbot и Let's Encrypt. Красиво выглядит и вроде ни чего лишнего не требует

Возможно,он уже есть в репозитории твоего дистрибутива

Да, есть!

Другой вопрос. У меня в DNS

@                     MX      5 mx.mydomain.ru.
mx                    A       192.168.0.1
imap                  A       192.168.0.1
smtp                  A       192.168.0.1

Значит придется, либо 2 сертификата выписывать и для зоны imap указать сертификаты демону dovecot, а для зоны smtp демону postfix, либо поправить зону к виду:

@                     MX      5 mydomain.ru.

2 сертификата выписывать и для зоны imap указать сертификаты демону dovecot, а для зоны smtp демону postfix

Лучше всего именно так и сделать.

Я использую dehydrated, меня устраивает.
Официальная софтина Let's Encrypt была какой-то наркоманской, так-что альтернативных клиентов наплодились огромное количество.

Можно в одном сертификате указать все имена.

можно 1 сертификат с Subject Alternative Name

Для одного сервиса можно, для нескольких не стоит.
Подобный подход порождает дополнительные проблемы, связанные с перевыпуском сертификатов в контексте масштабируемой инфраструктуры и негативно сказывается на безопасности системы в целом.

негативно сказывается на безопасности системы в целом.

с чего это вдруг?

да и с остальным сказанным я тоже несогласен.

Скомпрометировали один сервис и имеем возможность расшифровки трафика остальных.
При росте нагрузки перенесли роль на другой сервер и получили проблему синхронизации сертификатов.

Скомпрометировали один сервис и имеем возможность расшифровки трафика остальных.

у нас тут и так всё работает на одном хосте и админет всё тот же человек. Так что данный пункт не особо актуален.

При росте нагрузки перенесли роль на другой сервер и получили проблему синхронизации сертификатов.

1) ТС планирует использовать бесплатный letsencrypt. Так что ему ничего не мешает слепить еще парочку бесплатных сертификатов.
2) ТС-у ничего не мешает скопировать на «другой сервер» сами сертификаты с приватными ключами.

Если у вас SubjectAlternativeName ассоцируется с уязвимостью, у вас странные понятия о безопасности.

у нас тут и так

В вашем частном случае вы сами определяете требуемый уровень безопасности, но это не отменяет факта наличия проблемы в общем случае.
Однако, когда каждый сервис работает под ограниченным пользователем с выделенным сертификатом, компрометация отдельного сервиса не несёт прямой угрозы для безопасности остальных сервисов.

скопировать на «другой сервер» сами сертификаты с приватными ключами

Вы недооцениваете сложность задачи.
Придётся синхронизовать не только обновление сертификата и его применение к сервису, но и репликацию сертификатов между серверами, что порождает целый ворох неочевидных проблем, начиная с того, что связь между серверами не обязана присутствовать, а её установка и настройка сама по себе является отдельной задачей.

Продолжая тему, у меня сейчас:

smtp.mydomain.ru:25 STARTLS
/etc/postfix/main.cf

# TLS конфигурация
smtpd_use_tls = yes
smtpd_tls_cert_file=/etc/postfix/certificate/smtpd.pem
smtpd_tls_key_file=/etc/postfix/certificate/smtpd.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes

imap.mydomain.ru:993 TLS
/etc/dovecot/dovecot.conf

ssl_cert = </etc/dovecot/certificate/dovecot.pem
ssl_key = </etc/dovecot/certificate/dovecot.key

Вопросы:

1. Если я верно понял, то тут только пути к новым сертификатам поменять.
2. Что делать c mx.mydomain.ru? Создать один сертификат smtp.mydomain.ru + mx.mydomain.ru?
3. Cоздать HTTP imap.mydomain.ru и smtp.mydomain.ru для получения сертификатов?
4. STARTLS и TLS придется у клиентов менять на SSL?

только пути к новым сертификатам поменять

Да.

Что делать c mx.mydomain.ru?

Если эти задачи решает один сервис, то можно MX направить на SMTP.

Cоздать HTTP imap.mydomain.ru и smtp.mydomain.ru для получения сертификатов?

Должно работать без лишних виртуалхостов.

STARTLS и TLS придется у клиентов менять на SSL?

Я у себя наоборот везде перешёл на STARTTLS.

Должно работать без лишних виртуалхостов.

т.е. если я укажу certbot корень сайта mydomain.ru и запрошу сертификаты для imap.mydomain.ru все заработает. Да, логично. Можно же запросить -d mydomain.ru -d http://www.mydomain.ru

Я у себя наоборот везде перешёл на STARTTLS

Я к сожалению не переходил, адмнистрирование почты было вменено служебными инструкциями. И для STARTTLS и для SSL типа шифрования, сертификаты одни и теже подойдут? А будет это то STARTTLS или SSL, где-то в конфигах определяется?

т.е. если я укажу certbot корень сайта mydomain.ru и запрошу сертификаты для imap.mydomain.ru все заработает

Надо убедиться, что «/.well-known» отображается в нужный каталог файловой системы:

certbot certonly --agree-tos --email "admin@${HOSTNAME#*.}" --rsa-key-size "4096" --text \
--webroot --webroot-path "/var/www/letsencrypt" --domains "imap.${HOSTNAME#*.}"

cat /etc/httpd/conf.d/letsencrypt.conf 
Alias /.well-known /var/www/letsencrypt/.well-known

И для STARTTLS и для SSL типа шифрования, сертификаты одни и теже подойдут?

Должны работать оба независимо от сертификата.

Должны работать оба независимо от сертификата

Буду пробовать.

Пользуясь случаем, спрошу. Порт smtp, сейчас 25, что-то я не нашел в postfix упоминания об этом. Хочу поставить стандартный 465

Хочу поставить стандартный 465

Лучше этого не делать, потому что оно deprecated:
http://blog.mailgun.com/25-465-587-what-port-should-i-use/

Запустил получение сертификата

./certbot-auto certonly --webroot --agree-tos --email admin@mydomain.ru -w /var/www/mydomain/ -d imap.mydomain.ru

получил

http://imap.mydomain.ru/.well-known/acme-challenge/bwU5P2_Cwn6ki7108B6e_nqA_wZCphgDtnjxrfUAReY:
404 Not Found

т.е. http путь верификации должен совпадать с первым параметром в -d

В apache поправил VirtualHost домена mydomain.ru

<VirtualHost *:80>
        ServerAdmin admin@mydomain.ru
        ServerName mydomain.ru
        ServerAlias www.mydomain.ru
        ServerAlias imap.mydomain.ru
        ServerAlias smtp.mydomain.ru
<VirtualHost>

Да, можно было выписать сертификат на mydomain.ru и перечисленные поддомены за раз, но я соглашусь [user]ArcFi[/user], что лучше придерживатся правила, каждому сервису свой сертификат. (Благо, что они есть бесплатные, а иначе думал бы по другому конечно)

Если эти задачи решает один сервис, то можно MX направить на SMTP

Если решает один сервис то по другому и не сделать? или можно без поднятия отдельной сущьности, только магией конф.файлов?

Сертификаты нужны на то, что указываешь в качестве сервера IMAP и SMTP в настройках программы. Программа проходит по этим доменам и анализирует соответствие сертификата домену и доверенный ли CA у нее в потрохах, который этот сертификат выдал.

По MX записям ходят MTA и используют все тот же SMTP протокол. Стандартными средствами ни как не разделить сертификатами SMTP и MX если они на одном postfix. Значит единственно верным решением будет заменить DNS запись

;; ANSWER SECTION:
mydomain.ru.              49462   IN      MX      0 mx.mydomain.ru.

;; ANSWER SECTION:
mydomain.ru.              49462   IN      MX      0 smtp.mydomain.ru.

Значит единственно верным решением будет заменить DNS запись

У меня сделано так же, только через named view internal/external клиентам отдаются разные адреса.
Однако это это не единственно верное решение, ещё можно использовать SubjectAlternativeName.

Однако это это не единственно верное решение, ещё можно использовать SubjectAlternativeName

Can I get a certificate for multiple domain names (SAN certificates)?

Yes, the same certificate can apply to several different names using the Subject Alternative Name (SAN) mechanism. Certbot automatically requests certificates for multiple names when requested to do so. The resulting certificates will be accepted by browsers for any of the domain names listed in them.

т.е. если я несколько имен укажу в -d то получу SAN

./certbot-auto certonly --webroot --agree-tos --email admin@mydomain.ru -w /var/www/mydomain/ -d imap.mydomain.ru -d mx.mydomain.ru