|
Создание и использование сертификатов SSL |
Прокрутить Назад Начало Далее Больше |
Сертификаты, создаваемые с помощью вкладки "SSL & TLS", являются самозаверяющими. Другими словами, субъект такого сертификата (тот, кому он выдан) одновременно является и центром сертификации, выдавшим этот сертификат. Это вполне допустимо, но, поскольку ЦС еще не будет указан в списках доверенных ЦС ваших пользователей, при каждом подключении к URL-адресу HTTPS веб-почты или удаленного администрирования будет показан вопрос, хотят ли они перейти на сайт и/или установить сертификат. Как только такие пользователи согласятся установить сертификат и будут доверять домену вашей веб-почты как действующему центру сертификации, при подключении к веб-почте или удаленному администрированию им больше не придется видеть сообщение о безопасности.
Однако если пользователь подключается к серверу MDaemon с помощью почтового клиента, наподобие Microsoft Outlook, он не имеет возможности автоматически установить созданный вами сертификат на свой компьютер. Пользователю лишь предлагается прервать или продолжить сеанс работы с использованием сертификата, который не заверен ни одним из доверенных центров сертификации, заданных на его машине. При каждом последующем подключении к почтовому серверу пользователь вновь будет вынужден подтверждать свое согласие на использование сертификата. Чтобы устранить это неудобство, вам достаточно получить сертификат у центра сертификации, такого какLet's Encrypt, или экспортировать ваш самозаверяющий сертификат и разослать его пользователям по электронной почте или по другим каналам, чтобы они вручную импортировали его в список доверенных сертификатов. Затем они могут вручную установить и отныне доверять вашему сертификату, чтобы избежать будущих предупреждений.
Создание сертификата
Чтобы создать сертификат средствами MDaemon, выполните следующие действия:
1.Перейдите на вкладку SSL & TLS (вызывается из менюБезопасность » Параметры безопасности » SSL & TLS » MDaemon).
2.Включите флажок "Включить SSL, STARTTLS и STLS.
3.НажмитеСоздать сертификат.
4.В поле "Имя хоста" введите имя домена, для которого требуется создать сертификат (к примеру, ""mail.example.com"").
5.Укажите владельца сертификата в поле "Название организации/компании".
6.В поле "Альтернативные имена хостов..." перечислите через запятую имена всех дополнительных доменов, пользователи которых будут подключаться к вашему почтовому серверу по SSL (например, "*example.com", "example.com", "mail.mdaemon.comи т.д.).
7.Выберите длину ключа шифрования в раскрывающемся списке.
8.Укажите страну, в которой расположен ваш сервер.
9.НажмитеOК.
Использование сертификатов, выданных сторонними центрами сертификации
Чтобы MDaemon мог использовать сертификат, выданный сторонним центром сертификации, это сертификат необходимо импортировать в операционную систему Windows с помощью консоли MMC. В Windows это делается следующим образом:
1.Откройте консоль управления Microsoft Management Console (введите "mmc" в текстовое поле в меню "Пуск" Windows и нажмите Enter).
2.Нажмите Файл | Добавить/удалить оснастку... в строке меню (или нажмите Ctrl+M на клавиатуре).
3.Если на панели " Доступные оснастки " выберите Сертификаты, а затем нажмите Добавить.
4.В диалоговом окне оснастки Сертификаты выберите Учетная запись компьютера, а затем нажмите кнопку Далее.
5.В диалоговом окне Выбор компьютера выберите Локальный компьютер, а затем нажмите Готово.
6.Нажмите OK.
7.В разделе Сертификаты (Локальный компьютер), если импортируемый сертификат является самоподписанным, нажмите Доверенные корневые центры сертификации, а затем Сертификаты. Если он не самоподписанный, нажмите Личные.
8.Если на панели Действия нажмите Другие действия | Все задачи | Импорт..., нажмите Далее.
9.Укажите путь к файлу сертификата, который вы хотите импортировать (при необходимости используйте кнопку Обзор), и нажмите Далее.
10.Нажмите кнопку Далее и нажмите кнопку Готово.
|
В MDaemon отображаются только сертификаты с закрытыми ключами Personal Information Exchange (PKCS #12). Если импортированный сертификат отсутствует в списке, попробуйте импортировать вышеуказанным образом соответствующий файл с расширением*.PEM, который содержит ключ сертификата и закрытый ключ. При выполнении импорта этого файла в соответствии с процедурой выше он будет преобразован в формат PKCS #12. |
Использование Let's Encrypt для управления вашими сертификатами
Let's Encrypt это центр сертификации, предоставляющий бесплатные сертификаты в рамках полностью автоматизированного процесса, который не предполагает ручных операций по созданию, проверке подлинности, подписанию, установке и продлению сертификатов для защищенного доступа к веб-сайтам.
Автоматизировать процесс управления сертификатами Let's Encrypt поможет новый экран Let's Encrypt.Здесь вы найдете все необходимое для быстрой настройки и запуска скрипта PowerShell, который находится в папке "MDaemon\LetsEncrypt". При запуске скрипта все действия необходимые для использования LetsEncrypt будут выполнены автоматически, включая размещение файлов в директории WorldClient HTTP, предназначенных для выполнения вызова http-01. Скрипт использует имя хоста SMTP для домена по умолчаниюв качестве домена для сертификата, включая все заданныеальтернативные имена хоста, извлекает сертификат, импортирует его в ОС Windows, а также настраивает сервер MDaemon для использования сертификата в MDaemon, Webmail и Remote Administration. Скрипт также создает в папке "MDaemon\Logs\" собственный лог-файл под названиемLetsEncrypt.log. Этот лог-файл удаляется и перезаписывается при каждом перезапуске скрипта. В нем также содержится время и дата запуска скрипта. Кроме того, при обнаружении ошибок предусмотрена возможность отправки уведомлений на указанный вамиПочта администратора для уведомлений. Более подробную информацию можно найти в диалоговом окне Let's Encrypt.
См. также:
