Какой сертификат подойдет для моей установки?
Тот же тип, который вы использовали бы при добавлении HTTPS на обычный сайт. (По большей части это все тот же HTTPS - и там, где это не HTTPS, это все равно тот же SSL / TLS.)
Поэтому применяются те же основные правила:
Имя (CN / SAN) на нем должно соответствовать имени хоста в URL. Если ваши клиенты подключаются к «mail.example.com», то сертификат лучше быть выдан на «mail.example.com». То же самое работает и с подключениями IMAP или SMTP.
Однако, если ваши клиенты подключаются к вымышленному домену, такому как «mail.lan», вы не сможете купить сертификат для этого. Вы должны прекратить использовать готовые домены для вашей локальной сети.
Он должен быть выдан «центром сертификации», который клиенты уже распознают.
Неважно, какой. Если вы выбираете между широко доверенными центрами сертификации, то, будь то Comodo или DigiCert или Let's Encrypt или Honest Achmed's Cars and Certificates - никаких технических различий не имеет.
Таким образом, вы в основном выбираете, исходя из того, с какой компанией легче всего иметь дело. (Некоторые из них дешевле, некоторые бесплатны, некоторые имеют более совершенные средства автоматизации, или лучшую техническую поддержку, или более надежны, и т. Д.)
(Также возможно запустить частный внутренний ЦС. Тогда вашим клиентам потребуется установить только один сертификат: корневой сертификат ЦС, и вы сможете использовать любое количество «серверных» сертификатов, используя его.)