操作系统: CentOS
域名: TownsendHardware.com
多年来,我一直使用 Plesk 来管理一台拥有大约二十多个域名的服务器。我一直使用 Let’sEncrypt 来获取 SSL 证书,电子邮件从未出现过问题。一个多月前,我停止使用 Plesk。
两天前,客户的零售 POS 系统停止发送发票电子邮件,声称无法连接到 SMTP 服务器,因为它无法建立 TLS 连接。
由于以下原因,无法验证服务器的 SSL 证书:
- 服务器证书有以下错误。
- 根据当前系统时钟进行验证时,所需证书未处于有效期内。
这令我震惊,因为我确信我已经通过安装 CertBot 并为所有域重新创建了 SSL 来重新建立了 Let’sEncrypt SSL 流程。我在撰写本文之前检查过,它们都是最新的。然而,当我访问并运行他们的测试时,我被告知以下内容:
点击查看大图
相关部分是:
证书 #1 of 3(由 MX 发送):已过期
证书验证错误:证书已过期
因此电子邮件已加密,但收件人域未经验证
证书主机名未经验证(mail.townsendhardware.com != townsendhardware.com | DNS:townsendhardware.com)(打开发送 SNI 可能会解决此问题:试试看)
因此电子邮件已加密,但主机未经验证无效时间:2024 年 7 月 18 日 11:54:10 GMT
无效时间:2024 年 10 月 16 日 11:54:09 GMT
主题:/CN=townsendhardware.com
发行者:/C=US/O=Let’s Encrypt/CN=R11
顺便说一下,我确实尝试过发送 SNI 来查看它是否能解决问题。但并没有。
我在 Sever Fault 上看到过类似的帖子(例如),我尽可能地遵循了他们的建议,但大多数建议都归结为创建mail.townsendhardware.com
子域并使用 HTTPS_01 验证,而我从未这样做过,也不想这样做。我尝试使用 CertBot 创建 DNS_01 验证,但它失败了(这并不奇怪),因为(我怀疑)它正在寻找 ACME TXT 记录mail.townsendhardware.com
。(即,我相信那是它想要找到的地方。我确实尝试将其放入我的DNS 结构_acme-challenge.mail.townsendhardware.com
中,但没有成功。)townsendhardware.com
这确实给了我一个想法,即简单地mail.townsendhardware.com
在 DNS 结构中创建一个具有适当 A、MX 和 TXT 记录的域(称之为僵尸子域)…但这实际上没有任何意义,不是吗?而且以前也不需要这样做。
所以,我的问题是 Plesk 如何设置 Let’s Encrypt 来适当加密我的 SMTP 服务器,而无需创建整个子域?
供参考:
6
–
–
–
–
–
|