|
Создание и использование сертификатов SSL |
Прокрутить Назад Начало Далее Больше |
Сертификаты, создаваемые с помощью вкладки "SSL & TLS", являются самозаверяющими. Другими словами, субъект такого сертификата (тот, кому он выдан) одновременно является и центром сертификации, выдавшим этот сертификат. Это вполне допустимо, но, поскольку ЦС еще не будет указан в списках доверенных ЦС ваших пользователей, при каждом подключении к URL-адресу HTTPS веб-почты или удаленного администрирования будет показан вопрос, хотят ли они перейти на сайт и/или установить сертификат. Как только такие пользователи согласятся установить сертификат и будут доверять домену вашей веб-почты как действующему центру сертификации, при подключении к веб-почте или удаленному администрированию им больше не придется видеть сообщение о безопасности.
Однако если пользователь подключается к серверу MDaemon с помощью почтового клиента, наподобие Microsoft Outlook, он не имеет возможности автоматически установить созданный вами сертификат на свой компьютер. Пользователю лишь предлагается прервать или продолжить сеанс работы с использованием сертификата, который не заверен ни одним из доверенных центров сертификации, заданных на его машине. При каждом последующем подключении к почтовому серверу пользователь вновь будет вынужден подтверждать свое согласие на использование сертификата. Чтобы устранить это неудобство, вам достаточно получить сертификат у центра сертификации, такого какLet's Encrypt, или экспортировать ваш самозаверяющий сертификат и разослать его пользователям по электронной почте или по другим каналам, чтобы они вручную импортировали его в список доверенных сертификатов. Затем они могут вручную установить и отныне доверять вашему сертификату, чтобы избежать будущих предупреждений.
Создание сертификата
Чтобы создать сертификат средствами MDaemon, выполните следующие действия:
1.Перейдите на вкладку SSL & TLS (вызывается из менюБезопасность » Параметры безопасности » SSL & TLS » MDaemon).
2.Включите флажок "Включить SSL, STARTTLS и STLS.
3.НажмитеСоздать сертификат.
4.В поле "Имя хоста" введите имя домена, для которого требуется создать сертификат (к примеру, ""mail.example.com"").
5.Укажите владельца сертификата в поле "Название организации/компании".
6.В поле "Альтернативные имена хостов..." перечислите через запятую имена всех дополнительных доменов, пользователи которых будут подключаться к вашему почтовому серверу по SSL (например, "*example.com", "example.com", "mail.mdaemon.comи т.д.).
7.Выберите длину ключа шифрования в раскрывающемся списке.
8.Укажите страну, в которой расположен ваш сервер.
9.НажмитеOК.
Использование сертификатов, выданных сторонними центрами сертификации
Чтобы MDaemon мог использовать сертификат, выданный сторонним центром сертификации, это сертификат необходимо импортировать в операционную систему Windows с помощью консоли MMC. В Windows XP это делается следующим образом:
| 1. | ЩелкнитеПуск » Выполнить...в введите в открывшемся окне "mmc /a". |
| 2. | НажмитеOК. |
| 3. | В открывшемся окне консоли Microsoft Management Console, щелкните менюФайл » Добавить или удалить оснасткув строке меню(или нажмитеCtrl+Mна клавиатуре). |
| 4. | На вкладке "Изолированная оснастка" (Standalone) нажмите кнопкуДобавить... |
| 5. | В списке доступных оснасток выберитеСертификаты, затем нажмитеДобавить. |
| 6. | На экранеОснастки диспетчера сертификатоввыберитеАккаунт компьютера, затем нажмитеДалее. |
| 7. | На экранеВыбрать компьютервыберитеЛокальный компьютер, затем нажмитеГотово. |
| 8. | НажмитеЗакрытьи нажмите кнопкуOК. |
| 9. | В меню Сертификаты (локальный компьютер)на левой панели, если импортируемый вами сертификат самоподписан, нажмите"Доверенные корневые центры сертификации" (Trusted Root Certification Authorities), , а затем - Сертификаты. В противном случае нажмите наЛичные. |
| 10. | Выберите в менюДействие » Все задачи » Импорт...и нажмите кнопкуДалее. |
| 11. | Укажите путь к файлу сертификата, который необходимо импортировать (при необходимости воспользуйтесь кнопкой "Обзор"), и нажмитеДалее. |
| 12. | НажмитеДалееи нажмите кнопкуГотово. |
|
В MDaemon отображаются только сертификаты с закрытыми ключами Personal Information Exchange (PKCS #12). Если импортированный сертификат отсутствует в списке, попробуйте импортировать вышеуказанным образом соответствующий файл с расширением*.PEM, который содержит ключ сертификата и закрытый ключ. При выполнении импорта этого файла в соответствии с процедурой выше он будет преобразован в формат PKCS #12. |
Использование Let's Encrypt для управления вашими сертификатами
Let's Encrypt это центр сертификации, предоставляющий бесплатные сертификаты в рамках полностью автоматизированного процесса, который не предполагает ручных операций по созданию, проверке подлинности, подписанию, установке и продлению сертификатов для защищенного доступа к веб-сайтам.
Автоматизировать процесс управления сертификатами Let's Encrypt поможет новый экран Let's Encrypt.Здесь вы найдете все необходимое для быстрой настройки и запуска скрипта PowerShell, который находится в папке "MDaemon\LetsEncrypt". При запуске скрипта все действия необходимые для использования LetsEncrypt будут выполнены автоматически, включая размещение файлов в директории WorldClient HTTP, предназначенных для выполнения вызова http-01. Скрипт используетимя хоста SMTP длядомена по умолчаниюв качестве домена для сертификата, включая все заданныеальтернативные имена хоста, извлекает сертификат, импортирует его в ОС Windows, а также настраивает сервер MDaemon для использования сертификата в MDaemon, Webmail и Remote Administration. Скрипт также создает в папке "MDaemon\Logs\" собственный лог-файл под названиемLetsEncrypt.log. Этот лог-файл удаляется и перезаписывается при каждом перезапуске скрипта. В нем также содержится время и дата запуска скрипта. Кроме того, при обнаружении ошибок предусмотрена возможность отправки уведомлений на указанный вамиПочта администратора для уведомлений. Более подробную информацию можно найти в диалоговом окнеLet's Encrypt.
См. также:
