NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 邮件/群件 .: MDaemon SSL操作简介

MDaemon SSL操作简介

Alt-N Technologies 的 MDaemon 电子邮件服务器 v10.0 是一个基于 SMTP/POP3/IMAP 标准的邮件服务器,支持 Windows Vista/XP/2008/2003/2000 系统并提供一套完整的邮件服务功能。MDaemon 定位于管理任何个人用户的邮件需求,包括一套强大的集成工具,以便于管理账户和邮件格式。MDaemon 提供了一套可扩展的 SMTP、POP3、和 IMAP4 邮件服务器,其中包括 LDAP 支持、一套集成的基于浏览器的邮件客户端,内容过滤器、垃圾邮件拦截器、广泛的安全性能,以及更多。

在安全通信方面,MDaemon支持SSL\TLS通信协议,SMTP和POP3都可以工作在SMTPS和POP3S方式下。MDaemon本身可以自动生成一个自签名的SSL证书,来适应邮件在SSL通信下使用,但如果是采用MDaemon自动生成的自签名证书,必须将此证书导入各个客户端的信任证书区域,这个工作是非常麻烦和繁琐的,而且由于是自签名的证书,无法验证邮件服务器的身份,也无法方式钓鱼攻击,为了避免部署的困难和安全考虑,一般用户都采用国际信任的CA办法的SSL证书。

和一般的Web Server不同,MDaemon没有制作CSR,并且导入签名的证书等功能,所以要使用第三方CA签发的SSL证书,必须在外部先将证书生成,然后将证书导入到服务器中,后面会介绍一些比较简单,快速的方法。

还有一个比较重要的问题,MDaemon 对多个域不支持不同的证书 - 所有域必须共享一个单独的证书。 若用户可能连接的主机名存在着替换主机名,并且您希望该证书同样适用于那些名称,那么请安装多域名,或者通配符证书,即可以通过一个证书来覆盖所有需要使用的域名。


制作SSL证书
 
首先制作CSR文件:
 
最简单的办法,就是使用 OpenSSL CSR在线生成器: http://www.myssl.cn/openssl/createcsr.asp
(注意:您必须同时保存.key和.csr文件)
 
如果有特殊的要求,譬如需要2048位长的密钥,或者需要支持中文,则可以使用Openssl命令行工具。
 
1、“OpenSSL”工具被用来生成CSR和密钥,它来自于OpenSSL包,一般被安装在/usr/local/ssl/bin目录下,如果您安装在其他目录下,请做相应调整,你也可以下载使用OpenSSL 0.9.8.a for win32,下载地址是: http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip

2、请运行 cmd.exe 进入命令窗口,执行:
        set OPENSSL_CONF=openssl.cnf
        openssl req -new -nodes -keyout server.key -out server.csr
 
3、于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。
 
4、在这一命令执行的过程中,系统会要求您填写如下信息:

Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
State or Province Name (full name) 省份,比如填写Shanghai
Locality Name (eg, city) 城市,比如填写Shanghai
Organization Name (eg, company) 组织单位,比如填写公司名称的拼音
Organizational Unit Name (eg, section) 比如填写IT Dept
Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
pay.abc.com 又是另外一个网站。
Email Address 邮件地址,可以不填
A challenge password 可以不填
An optional company name 可以不填

以上所有字段必须用英文或拼音形式输入。
 
5. 用一个文本编辑器(Notepad或 VI),打开“server.csr”,把里面的内容全部复制到CSR信息栏 中:
 
6. 点击“继续”
 
做好CSR文件后,请将CSR提交给CA签名
 
获得CA签名后的证书文件后,就需要合并PFX文件
 
同样,合并PFX文件最简单的方式,就是采用PFX在线合成工具: http://www.myssl.cn/openssl/createpfx.asp

 
如果无法使用在线工具(目前在线工具只支持Verisign公司签发的证书),则需要用Openssl命令,将私钥保存为ssl.key,将CA签好名的证书文件保存为ssl.cer,则合并命令为:
 
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key
 
如果CA签发的不是单根证书(GeoTrust都是单根证书,不需要考虑这种情况)还有一个中间证书chain.cer,则命令为:
 
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key -certfie chain.cer
 


导入SSL证书
 
要在MDaemon中使用CA签发的SSL证书,首先需要将证书导入本地计算机帐户中,具体操作如下:
 
1.首先,将PFX文件复制到服务器c:\下。在“运行”菜单中,输入MMC,回车。


 
2.选择菜单“文件”-“添加/删除管理单元”:


 
3.点击“添加”,选择“证书”,点击“添加”:


 
4.选择“计算机帐户”,点击“下一步”:


 
5.选择“本地计算机”,点击“完成”:


 
6.选择“证书”-“个人”,右键展开后,选择“所有任务”-“导入”: 


 
7.点击“下一步”: 


 
8.选择需要导入的证书,C:\SSL.PFX,点击“下一步”: 


 
9.输入证书密码,就是在证书合并时设定的密码,(推荐不要选择“将私钥标记成可导出的”,如果选择此项,其他人可能从服务器上将证书导出),点击“下一步”: 


 
10.选择将证书放入“个人”存储区,点击“下一步”,再选择“完成”,则证书已经导入服务器。 


 


MDaemon SSL安全设置
 
1.点击“安全”--“安全设置”,在“安全设置”窗口左边,选择“SSL和TLS”。
 
2.选中“启用SSL、STARTTLS和STLS”,如果需要更改SMTP和POP3的SSL端口,可以选中第二个选项,不过如果修改此项,需要所有客户端都使用新的端口,建议不要更改。
 
3.如果需要支持WEB MAIL,在左边窗口点击“SSL和TLS”下的“WorldClient”。
 
4.在“接受以下类型的连接”中,选择“HTTP和HTTPS”。
 
5.证书安装完毕,要检查证书是否安装成功,可以在浏览器中输入https://mail.domain.com:995。稍等一会,可能浏览器不会出现小锁,可以直接在IE右小角状态栏,右边第2个小框(可以都点点看,虽然没有出现小锁图标)点击,如果证书安装成功,应该会出现服务器证书的信息窗口。
 
 



这篇文章对你多有用?

相关文章

article MDaemon 邮件系统 账户管理器显示错误解决方法
MDaemon...

(No rating)  5-30-2012    Views: 1202   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited