Welches Zertifikat wäre für mein Setup geeignet?
Die gleiche Art, die Sie beim Hinzufügen von HTTPS zu einer normalen Website verwenden würden. (Meistens ist es sowieso dasselbe HTTPS - und wo es nicht HTTPS ist, ist es trotzdem immer noch dasselbe SSL / TLS.)
Daher gelten die gleichen Grundregeln:
Der Name (CN / SAN) darauf muss mit dem Hostnamen in der URL übereinstimmen. Wenn Ihre Kunden „mail.example.com“ anschließen, dann besser das Zertifikat wird für „mail.example.com“ ausgegeben. Dies funktioniert auch bei IMAP- oder SMTP-Verbindungen.
Wenn sich Ihre Kunden jedoch mit einer Domäne wie "mail.lan" verbinden, können Sie dafür kein Zertifikat kaufen. Sie sollten aufhören, erstellte Domains für Ihr LAN zu verwenden.
Es muss von einer "Zertifizierungsstelle" ausgestellt werden, die von den Clients bereits erkannt wird.
Es ist egal, welche. Wenn Sie zwischen vertrauenswürdigen CAs wählen, macht es keinen technischen Unterschied, ob sie von Comodo oder DigiCert oder Let's Encrypt oder Honest Achmeds Gebrauchtwagen und Zertifikaten stammen .
Daher entscheiden Sie sich meistens danach, mit welchem Unternehmen am einfachsten umzugehen ist. (Einige sind billiger, andere kostenlos, andere haben bessere Automatisierungswerkzeuge oder besseren technischen Support oder sind vertrauenswürdiger usw.)
(Es ist auch möglich, eine private interne Zertifizierungsstelle auszuführen. Dann müssen Ihre Clients nur ein Zertifikat installieren : das Stammzertifikat Ihrer Zertifizierungsstelle, und Sie können eine beliebige Anzahl von "Server" -Zertifikaten mit diesem Zertifikat ausstellen.)