>>Делаем cnf файл вида -
>>[ v3_req ]
>>subjectAltName = email:copy,DNS:host.dom1.com,DNS:host.dom2.com
>>
>>И при генерации реквеста вызываем этой файл так:
>>-extensions v3_req -extfile name.cnf
>
>
>тема учень интересна..
>в дополнение если добавляется еще один домен, то придется перегенерировать сертификат!придется, про subjectAltName я умолчал потому что не помню с какой версии
openssl появилась возможность ее использования, ну и чаще всего ее
используют для shared сертификатов в Apache, появилась она не так уж давно.
>или все таки ситуация с ip или hostname спасает?
ситуация с ip == hostname - на все случаи жизни, объясняется просто,
основной интерфейс --привязка(bind)--> основной ip, imaps/pop3s обычно
слушают *.*, но поднимаются на чем - правильно, на машине у которой
конкретный hostname и он есть основной: cat /etc/hosts, ifconfig
Соответственно как генерить сертификат? Правильно - использовать для
CN=hostname (понятно что в FQDN формате). Все и не парится ни с какими
virtual-domains & virtual-hosts. Есть понятие - trusted-доверенный
сертификат, в этом основная идея, мало того, в почтовых клиентах
можно использовать no-validate-cert.
Есть ТЕХНОЛОГИЯ, в рамках технологии и нужно действовать.