场景：同一物理多协议服务器上的两个不相关的域名(有各自的子域)，相同的IP，相同的注册者。

使用阿帕奇没有问题：多亏了虚拟主机，我可以根据所请求的域提供不同的证书。

但是我安装的邮件服务器(OpenSMTPD+Dovecot)不支持虚拟主机(AFAICT)。因此，根据联系他们的域名，他们不能提供不同的证书。

现在，我知道我可以告诉certbot为两个域及其所有子域申请一个证书；但我担心结果将是一组巨大的文件(只是猜测，我没有经验)。

由于我喜欢保持我的网站的快捷性，我想为这两个域维护单独的证书/密钥。然后，仅对于邮件服务器，我的想法是：

CAT域1-fullchain.pem域2-fullchain.pem>sum-fullchain.pem

Cat domain1-Prikey.pem域2-Privkey.pem>sum-Prikey.pem

并允许它们将总和全链和私钥用于其TLS连接。问题是：这会奏效吗？

感谢LetsEncrypt.org和社区，OpenSMTPD和Dovecot都支持SNI(如果您的邮件客户端支持的话)。因此两者都可以配置多个证书。

至于将多个证书复制到一个文件中，不，我不相信这种方法会奏效(虽然我还没有测试过)。

如果您只有这两个域，您可以按照您的建议进行操作，并让certbot仅获取这两个域的证书(或者可能包含mail.、SMTP、POP3子域的那些域，具体取决于您的客户端实际使用的是什么)。

我经常使用的另一个选项是服务器名称证书，然后使用服务器名称作为客户端的“主机名”--这适用于单个证书，对于不支持SNI的客户端来说没有问题。连接文件将产生一个包含两个证书(或两个密钥)的文件。这行不通的。

您可以询问We‘s Encrypt来为您颁发重叠的证书。也就是说，域A在一个证书中，域B在第二个证书中，然后A和B都在第三个证书中。没有规定禁止这样做，只要你不超过利率限制。当然，跟踪在哪里使用过的东西这一令人头疼的问题将留给您。但老实说，我怀疑A+B证书在Web服务器上应该没问题，更大的是额外名称的长度加上一些开销。[QUOTE=“SERVERCO，POST：2，TOPIC：23057”]

OpenSMTPD和Dovecot都支持SNI[/QUOTE]

很高兴知道！尤其是在OpenSMPTD的文档中并不明显的情况下。对于Dovecot，我一定是使用了错误的搜索词：虚拟主机而不是SNI。

Serverco：

我经常使用的另一个选项是服务器名称证书，然后使用服务器名称作为客户端的“主机名”--这适用于单个证书，对于不支持SNI的客户端没有问题。

我需要第三个域名，我的理解正确吗？或者，我也可以为本地主机名申请证书吗？

替亚拉美司：

连接这些文件将产生一个包含两个证书(或两个密钥)的文件。那是行不通的

哦，太糟糕了。不过，这解决了我的第一个问题。

谢谢你的回复。YDeg：

我需要第三个域名，我的理解正确吗？或者，我可以使用本地主机名来执行此操作吗？

这取决于您的服务器的设置方式。您的服务器/IP的默认域是什么？您可以始终拥有两个现有域中的一个，也可以将其设置为邮件。您的现有域之一的子域。，serverco：

您的服务器/IP的默认域是什么？

如果您指的是在反向DNS查找中出现的名称，则它没有任何名称。我的VPS提供商允许我将我的一个域名分配给服务器的固定IP以进行反向DNS查找，但我认为仅此而已。

哦，我可以设置服务器的主机名，但这仅在服务器本身（AFAIK）内部有效，也可能在提供商的LAN内部有效。如果我不指定其他内容，邮件服务器确实会将其用作默认设置。我想我不能请求该私人姓名的证书（我很高兴在这一点上弄错）。，您可以向服务器提供您拥有的任何收件箱，并为其获取证书。 您可以使用您已经在其上使用的域名之一。

我的意思是，您使用您的邮件客户端连接到的单个“服务器名称”，然后您获得该“服务器名称”的证书。