EVO Software Production
EVO邮件服务器 \ 技术支持 \ SSL 与 TLS 功能启用以及凭证建立

EVO邮件服务器软件免费下载

免费邮件服务器软件下载

现在下载可免费试用评估14天

超稳 Mail Server可以轻松搞定电子邮件 的发送、备份、监控。它适合发送 推广电邮及大量收发电子邮以电子邮件的五大基础 IMAP、POP3、SMTP、CardDAV、CalDAV可以提供完善云端 电子邮件服务。


free Mail Server download

SSL与TLS功能启用以及证书建立

快速分类速查 了解SSL&TLS证书 无效SSL证书范例 建置“有效”SSL证书

A. SSL协议与TLS是什么?它们的功能是什么?

答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLS是SSL的下一代协议。透过它我们可以:

1. 在互联网上传输加密过的资料以达到资安的目的。
2. 保持从端点A到端点B的传送路途中资料的完整性。
3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明自己的身份。

B. SSL证书是什么?它的功能是什么?

答:SSL证书 (Certificate) 像身分证一般可以在互联网上证明自己的身份。在资料的加密传输开始之前,服务器透过“有效”的SSL证书告诉用户端自己是值得信赖的服务器。。

C. 如何取得SSL证书?

答:本邮件服务器可产生SSL证书,但是此时的证书尚属“无效”的证书。何谓“无效”?何谓“有效”?请往下看。

D. 何谓“有效”的SSL证书?

答:SSL证书分为“有效”的证书和“无效”的证书。其中的分别在于“有效”的证书是经过具有公信力的证书签署单位(Certificate Authority)信任签署过的。CA在签发之前会对申请人做身份的核对以预防网络诈骗。

E. “无效”的SSL安全性证书会产生证书错误的问题吗?

答:“无效”的证书因“缺乏CA的身份核对”或是“服务器的域名和证书上的CN不符合时”在身份证明上是没有效应的,会产生证书错误连接出错的问题,比如证书错误 浏览已封锁证书过期。邮件服务器若使用“无效”的SSL证书,用户端与邮件服务器连线时会出现类似下列令使用者不胜其扰的警告讯息:

Outlook 2010 证书链终止警告范例:

证书链结已处理,但证书链结在根证书时被终止,因为证书不受信任提供者信任

Windows Live Mail 2011 证书主机名称(CN)不正确范例:

您目前连线的伺服器使用的安全性证书无法验证 目标主机名称不正确

Thunderbird 证书身份未知警告范例:

此网站尝试用无效的资讯识别自己 证书未受信任,因为尚未被认得的证书机构验证;证书错误 浏览已封锁

Apple iOS 证书身份无法验证警告范例:

无法验证伺服器识别身份;此网站的安全性证书有问题

F. 哪些SSL证书签署单位可以帮我签发“有效”的SSL证书信任签署?

答:签署单位范例:

SSL证书签署商列表 / 价格为一年合约费用(超过后会产生证书过期的问题)
国外签署商 Comodo PositiveSSL Certificate 价格不便列出
RapidSSL RapidSSL Certificates 价格不便列出

总结上面的问与答:拥有“有效”SSL证书的服务器值得信任,和这类服务器做SSL加密连线在信件内容资安上才有保障。在此强烈建议MIS 们申请“有效”的SSL证书才能让用户安心使用本邮件服务器做讯息交换,如同网络银行网页使用SSL加密协议保障客户的重要金融资料。

G. 请按照下面的步骤建置“有效”的SSL证书:

1. 在邮件服务器的内建证书金钥产生工具建立新的SSL证书 -

点选画面中“建立新的”开启“SSL证书及私密金钥产生工具”

ssl certificate making

在“SSL证书及私密金钥产生工具”填妥贵公司信息点选“建立证书以及私密金钥”建立新SSL证书。

csr key generator screen shot

2. 以新产生的SSL证书向CA申请SSL证书的信任签署 -

在“SSL(TLS)证书以及私密金钥设定”项目中,点取“显示CSR”的按钮可检视CSR档,我们要使用其档案内容向CA做证书信任签署申请。请参考下列CA证书签署示范教学:RapidSSL Comodo
(为何选这个国外服务商呢?因为价格便宜,其它种类各有其优缺点请自行比较)

3. 汇入CA信任签署过的SSL证书 -

承“步骤二”的签署申请以后,我们下载回来的SSL证书档案已经生效,请妥善保存。然后回到“SSL(TLS)证书以及私密金钥设定”的项目中:

Ⅰ. 在“网域金钥及证书”的下拉选单中选取相关网域。
Ⅱ. 输入“私密金钥存取密码”。
Ⅲ. 点选在“SSL证书(X.509)”右手边的“汇入”并浏览至“SSL证书”档案所在的子目录点选对应的crt档。
Ⅳ. 点选在“SSL证书链(X.509)”。 右手边的“汇入”并浏览至“SSL证书链”档案所在的子目录点选对应的crt档。

ssl cert and key import

3. 检查SSL证书是否顺利置入 -

请查看下图“服务器金钥及SSL证书”的检查结果为“已载入,CN值 xyz.com.tw 与主要网域(或MX主机)吻合。”。表示已经载入成功。

check_cert_implement

H. 什么是TLS SNI (Server Name Indication)?

答:TLS SNI是一种TLS通讯协议的扩充,它藉由将服务器名称做为交涉的一部分来达到TLS主机虚拟化的目的,或可以说,只需一个IP地址,就可架设多组提供SSL邮件服务的服务器,并且能够套用各自的服务器证书,这是不支援TLS SNI扩充的邮件服务器所没有办法做到的境界。目前,Outlook 2007, 2010, iOS Mail, Apple Mail, Thunderbird, Opera 皆支援 TLS SNI 的功能,但是请不要忘了将这些邮件软件更新至最新版本。

使用条款 举报错误 联系我们 名词解释