操作系统： CentOS

域名： TownsendHardware.com

多年来，我一直使用 Plesk 来管理一台拥有大约二十多个域名的服务器。我一直使用 Let’sEncrypt 来获取 SSL 证书，电子邮件从未出现过问题。一个多月前，我停止使用 Plesk。

两天前，客户的零售 POS 系统停止发送发票电子邮件，声称无法连接到 SMTP 服务器，因为它无法建立 TLS 连接。

由于以下原因，无法验证服务器的 SSL 证书：

• 服务器证书有以下错误。
• 根据当前系统时钟进行验证时，所需证书未处于有效期内。

这令我震惊，因为我确信我已经通过安装 CertBot 并为所有域重新创建了 SSL 来重新建立了 Let’sEncrypt SSL 流程。我在撰写本文之前检查过，它们都是最新的。然而，当我访问并运行他们的测试时，我被告知以下内容：

点击查看大图

相关部分是：

证书 #1 of 3（由 MX 发送）：已过期

证书验证错误：证书已过期

因此电子邮件已加密，但收件人域未经验证

证书主机名未经验证（mail.townsendhardware.com != townsendhardware.com | DNS:townsendhardware.com）（打开发送 SNI 可能会解决此问题：试试看）

因此电子邮件已加密，但主机未经验证

无效时间：2024 年 7 月 18 日 11:54:10 GMT

无效时间：2024 年 10 月 16 日 11:54:09 GMT

主题：/CN=townsendhardware.com

发行者：/C=US/O=Let’s Encrypt/CN=R11

顺便说一下，我确实尝试过发送 SNI 来查看它是否能解决问题。但并没有。

我在 Sever Fault 上看到过类似的帖子（例如），我尽可能地遵循了他们的建议，但大多数建议都归结为创建mail.townsendhardware.com子域并使用 HTTPS_01 验证，而我从未这样做过，也不想这样做。我尝试使用 CertBot 创建 DNS_01 验证，但它失败了（这并不奇怪），因为（我怀疑）它正在寻找 ACME TXT 记录mail.townsendhardware.com。（即，我相信那是它想要找到的地方。我确实尝试将其放入我的DNS 结构_acme-challenge.mail.townsendhardware.com中，但没有成功。）townsendhardware.com

这确实给了我一个想法，即简单地mail.townsendhardware.com在 DNS 结构中创建一个具有适当 A、MX 和 TXT 记录的域（称之为僵尸子域）…但这实际上没有任何意义，不是吗？而且以前也不需要这样做。

所以，我的问题是 Plesk 如何设置 Let’s Encrypt 来适当加密我的 SMTP 服务器，而无需创建整个子域？

供参考：