Mail Server 知識庫 - 如何產生站台憑證 (SSL Certificate)

如何自建站台憑證 (SSL Certificate)

時過境遷，此方法已不建議，請參考如何匯入憑證

在程式目錄下 \SSL 您可以找到一個壓縮檔 MaildSSLPackage.zip, 解開來的目錄是小弟為各位準備的站台憑證產生的工具目錄.

目的

要產生 SSL 功能需要用到的憑證, 私鑰等檔案, 放到 SSL 目錄裡即可.

要用到的檔案有:

cacert.pem - CA根證書
cert.pem - 網站證書
privkey.pem - 網站私鑰
caroot.cer - CA根證書，用戶輸入他/她的CAPI商店信任的郵件服務器
證書。

你可以把它放在你的<RaidenMAILD> \ webimages 供用戶下載並點擊兩下來安裝, 自動安裝可能不會幫您放到正確位置, 這時可以選擇手動安裝到"受信任的根憑證區"。

連結的範例如 http://webmail.yourdomain.com:81/webimages/caroot.cer
把這連結寫在 login.html 裡即可.

方法

如何建立您的網站與MaildSSLPackage證書（openssl的WIN32包裝）

下載鏈接：http://www.raidenmaild.com/download/MaildSSLPackage.zip

請仔細遵循以下步驟。這很容易，但每步驟都要注意。

註1：以下步驟需要填入的密碼都是1234

註2：以下所提的 CN 或 Common Name 指得就是機器位置, CN 通常跟您的 MX 記錄相同

註3：新版的 MaildSSLPackage 支援多個網域對應的需求, 請打開 openssl.cnf 檔案, 找到 [alt_names] 區塊, 先在裡頭 DNS.1 填入主要的 CN, 然後在 DNS.2 ...等等加進額外的 Common Name, 存檔後再接著進行以下步驟.

outlook 2007 若遇到"目標主體名稱不正確"的警告訊息, 這是 outlook 本身 bug 無法識別多個CN的憑證, 請至微軟網站更新. https://www.microsoft.com/zh-TW/download/details.aspx?id=27838

=================================================
<<目標: 建立 mail.xxxxx.com.tw 這台主機用的SSL 憑證. >>
步驟0: notepad 打開 openssl.cnf

到最下面找到[alt_names], 在裡頭加進你要用的 CN, 有多少就加多少
比如:
DNS.1 = mail.xxxxx.com.tw
DNS.2 = www.xxxxx.com.tw
DNS.3 = smtp.xxxxx.com.tw
DNS.4 = pop.xxxxx.com.tw
DNS.5 = xxxxx.com.tw

加完後就可以存檔了.

步驟1: 執行 1MakeCaRootKey.bat
Enter PEM pass phrase: 1234
Verifying password - Enter PEM pass phrase: 1234

結果: 產生 ca.key

步驟2: 執行 2MakeCaRootCert.bat
Enter PEM pass phrase: 1234
Country Name (2 letter code) [US]: TW
註: 國家
Nombre del Estado (nombre completo) [Luisiana]: Taipei
註: 您的州
Locality Name (eg, city) [New York]: Taipei
註: 您的城市
Nombre de la Organizacion (Empresa) [none]: Johnlong
註: 您的單位名稱
Nombre del departamento [none]: RD
檡: 您的部門
Common name (eg, TU nombre, website) []: mail.xxxxx.com.tw
註: 這是最重要的欄位. 您要輸入別人以何種網址或IP 連到你的伺服器,
若別人用得是網址, 您就設網址; 反之是IP連伺服器就設IP.
email@adress.com []:
註: 無需輸入, 按 ENTER 跳過

結果: 產生 ca.crt

步驟3: 執行 3MakeServerKey.bat
Enter PEM pass phrase: 1234
Verifying password - Enter PEM pass phrase: 1234

結果: 產生 server.key

步驟4: 執行 4MakeServerReq.bat
Enter PEM pass phrase: 1234

*** 以下欄位資料務必跟步驟2一模一樣 ***

Country Name (2 letter code) [US]: TW
註: 國家
Nombre del Estado (nombre completo) [Luisiana]: Taipei
註: 您的州
Locality Name (eg, city) [New York]: Taipei
註: 您的城市
Nombre de la Organizacion (Empresa) [none]: Johnlong
註: 您的單位名稱
Nombre del departamento [none]: RD
檡: 您的部門
Common name (eg, TU nombre, website) []: mail.xxxxx.com.tw
註: 這是最重要的欄位. 您要輸入別人以何種網址或IP 連到你的伺服器,
若別人用得是網址, 您就設網址; 反之是IP連伺服器就設IP.
email@adress.com []:
註: 無需輸入, 按 ENTER 跳過

a password []: <== 無需輸入, 按 ENTER 跳過.
bussines name optional []: <== 無需輸入, 按 ENTER 跳過

結果: 產生 server.csr

步驟5: 執行 5SignServerCert.bat
Enter PEM pass phrase: 1234
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName :PRINTABLE:'TW'
stateOrProvinceName :PRINTABLE:'Taipei'
localityName :PRINTABLE:'Taipei'
organizationName :PRINTABLE:'Johnlong'
organizationalUnitName:PRINTABLE:'RD'
commonName :PRINTABLE:'mail.xxxxx.com.tw'
emailAddress :IA5STRING:''
Certificate is to be certified until Feb 6 08:45:35 2004 GMT (365 days)
Sign the certificate? [y/n]: y

1 out of 1 certificate requests certified, commit? [y/n] y
Write out database with 1 new entries
Data Base Updated

結果:
server.crt
產生 ca.db.index.old
產生 ca.db.serial.old
ca.db.index 更新.
ca.db.serial 更新
產生新憑證 <serial>.pem

步驟6：執行 6PrepareMaildSSLFiles.bat

結果：
將必要的文件複製到\Output，並重新命名為雷電MAILD要用到的檔名.
然後，您可以複製\Output 裡的檔案到您的<Raidenmaild>\SSL 目錄裡

STEP7：如果用戶想連接到您的POP3 SSL或Webmail SSL，他必須先下載caroot.cer 並進行自動安裝來進行信任的動作.

使用者雙擊caroot.cer 安裝, 請選擇安裝至"受信任的根憑證區"，
之後這台電腦就會信任您剛自建出來的站台憑證, 當它連到您伺服器時就不會再彈出一個對話框警告他了.

感謝您看完此篇文章

回知識庫首頁

Copyright (C) http://www.raidenmaild.com/ . , all rights reserved. The copyrighted works contained in this information service shall not be copied, reproduced, varied, altered, modified, adapted, distributed, performed and displayed in any form without the written permission of the copyright owner. All trademarks belong to their respective owners .