Переход:  Безопасность > Параметры безопасности > SSL & TLS >

Создание и использование сертификатов SSL

Печать этого раздела Пред. страницаК началу разделаCлед. страница

Сертификаты, создаваемые с помощью вкладки "SSL & TLS", являются самозаверяющими. Другими словами, субъект такого сертификата (тот, кому он выдан) одновременно является и центром сертификации, выдавшим этот сертификат. Самозаверение не является чем-то незаконным или недопустимым. Но, поскольку центр сертификации на сервере MDaemon изначально не входит в перечень доверенных центров сертификации на клиентской машине, при первом SSL-подключении к серверу WorldClient или WebAdmin браузер предлагает пользователю отклонить или принять/установить созданный вами сертификат. После установки сертификата и внесения домена WorldClient в список доверенных центров сертификации, такой вопрос при дальнейших подключениях к серверам WorldClient или WebAdmin больше не задается.

Однако если пользователь подключается к серверу MDaemon с помощью почтового клиента, наподобие Microsoft Outlook, он не имеет возможности автоматически установить созданный вами сертификат на свой компьютер. Пользователю лишь предлагается прервать или продолжить сеанс работы с использованием сертификата, который не заверен ни одним из доверенных центров сертификации, заданных на его машине. При каждом последующем подключении к почтовому серверу пользователь вновь будет вынужден подтверждать свое согласие на использование сертификата. Чтобы устранить это неудобство, вам достаточно экспортировать созданный сертификат и разослать его пользователям по электронной почте или распространить какими-то другими методами с тем, чтобы они вручную импортировали его в список доверенных сертификатов.

Создание сертификата

Чтобы создать сертификат средствами MDaemon, выполните следующие действия:

1. Перейдите на вкладку SSL & TLS (вызывается из меню Безопасность » Параметры безопасности » SSL & TLS » MDaemon).
2. Включите флажок "Включить SSL, STARTTLS и STLS".
3. В поле "Имя хоста" введите имя домена, для которого требуется создать сертификат (к примеру, "mail.example.com").
4. В поле "Название организации/компании" укажите владельца сертификата.
5. В поле "Альтернативные имена хостов..." перечислите через запятую имена всех дополнительных доменов, пользователи которых будут подключаться к вашему почтовому серверу по SSL (к примеру, "*.mydomain.com", "example.com", "wc.altn.com" и т.д.).
6. Выберите длину ключа шифрования в раскрывающемся списке.
7. Укажите страну, в которой расположен ваш сервер.
8. Нажмите Создать сертификат.

Использование сертификатов, выданных сторонними центрами сертификации

Чтобы MDaemon мог использовать сертификат, выданный сторонним центром сертификации, это сертификат необходимо импортировать в операционную систему Windows с помощью консоли MMC. В Windows XP это делается следующим образом:

1. Щелкните Пуск » Выполнить... в введите в открывшемся окне "mmc /a".
2. НажмитеOK.
3. В открывшемся окне консоли Microsoft Management Console, щелкните меню Файл » Добавить или удалить оснастку (или нажмите Ctrl+M на клавиатуре).
4. На вкладке «Изолированная оснастка» (Standalone) нажмите кнопку Добавить
5. В списке доступных оснасток выберите Сертификаты и нажмите кнопку Добавить.
6. Укажите, что эта оснастка будет использоваться для управления сертификатами учетной записи компьютера, и нажмите Далее.
7. Укажите, что эта оснастка должна использоваться для управления локальным компьютером, затем нажмите Готово.
8. Нажмите кнопку Закрыть, а затем OK.
9. Если импортируемый сертификат является самозаверяющим, откройте папку «Доверенные корневые центры сертификации» (Trusted Root Certification Authorities) в дереве только что добавленной оснастки и затем папку «Сертификаты». В противном случае, откройте папку «Личные» (Personal).
10. Выберите в меню консоли MMC команду Действие » Все задачи » Импорт... и нажмите Далее.
11. Укажите путь к файлу сертификата, который необходимо импортировать (при необходимости воспользуйтесь кнопкой «Обзор»), и нажмите Далее.
12. Нажмите Далее, и затем Готово.

В MDaemon отображаются только сертификаты с закрытыми ключами Personal Information Exchange (PKCS #12). Если импортированный сертификат отсутствует в списке, попробуйте импортировать вышеуказанным образом соответствующий файл с расширением *.PEM (этот файл содержит ключ сертификата и закрытый ключ, и при выполнении импорта преобразуется в формат PKCS #12)..

См. также:

SSL & TLS