EVO Software Production
EVO Mail Server \ 教學文件 \ SSL 與 TLS 功能啟用以及憑證建立
free Mail Server download

郵件伺服器推薦『EVO Mail Server v3.0.35』

現在下載並啟動可免費試用14天
超穩 EVO 郵件伺服器,郵件備份監控一把罩,適合發送會員電子報及大流量環境
以群組軟體核心 IMAP、POP3、SMTP、CardDAV、CalDAV 提供雲端郵件服務

推薦 recommend

SSL與TLS功能啟用以及憑證建立

快速分類速查 了解SSL&TLS憑證 無效SSL憑證範例 建置「有效」SSL憑證

A. SSL與TLS是什麼?它們的功能是什麼?

答:SSL(Security Socket Layer)是一種廣泛運用在網際網路上的資料加密協定;TLS是SSL的下一代協定。透過它我們可以:

1. 在網際網路上傳輸加密過的資料以達到資安的目的。
2. 保持從端點A到端點B的傳送路途中資料的完整性。
3. 透過SSL憑證內的公共金鑰加密資料傳輸至伺服器端,伺服器端用私密金鑰解密來證明自己的身份。

B. SSL憑證是什麼?它的功能是什麼?

答:SSL憑證 (Certificate) 像身分證一般可以在網際網路上證明自己的身份。在資料的加密傳輸開始之前,伺服器透過「有效」的SSL憑證告訴用戶端自己是值得信賴的伺服器。。

C. 如何取得SSL憑證?

答:本郵件伺服器可產生SSL憑證,但是此時的憑證尚屬「無效」的憑證。何謂「無效」?何謂「有效」?請往下看。

D. 何謂「有效」的SSL憑證?

答:SSL憑證分為「有效」的憑證和「無效」的憑證。其中的分別在於「有效」的憑證是經過具有公信力的憑證簽署單位(Certificate Authority)信任簽署過的。CA在簽發之前會對申請人做身份的核對以預防網路詐騙。

E. 「無效」的SSL安全性憑證會產生憑證錯誤的問題嗎?

答:「無效」的憑證因「缺乏CA的身份核對」或是「伺服器的網域名和憑證上的CN不符合時」在身份證明上是沒有效應的,會產生憑證錯誤的問題,比如憑證錯誤 瀏覽已封鎖憑證過期。郵件伺服器若使用「無效」的SSL憑證,用戶端與郵件伺服器連線時會出現類似下列令使用者不勝其擾的警告訊息:

Outlook 2010 憑證鍊終止警告範例:

憑證鏈結已處理,但憑證鏈結在根憑證時被終止,因為憑證不受信任提供者信任

Windows Live Mail 2011 憑證主機名稱(CN)不正確範例:

您目前連線的伺服器使用的安全性憑證無法驗證 目標主機名稱不正確

Thunderbird 憑證身份未知警告範例:

此網站嘗試用無效的資訊識別自己 憑證未受信任,因為尚未被認得的憑證機構驗證;憑證錯誤 瀏覽已封鎖

Apple iOS 憑證身份無法驗證警告範例:

無法驗證伺服器識別身份;此網站的安全性憑證有問題

F. 哪些SSL憑證簽署單位可以幫我簽發「有效」的SSL憑證信任簽署?

答:國內國外皆有簽署單位:

SSL憑證簽署商列表 / 價格為一年合約費用(超過後會產生憑證過期的問題)
國外簽署商 Comodo PositiveSSL Certificate 價格不便列出
RapidSSL RapidSSL Certificates 價格不便列出
國內簽署商 寰宇認證 Domain Name SSL 價格不便列出
VerSign 安全網站 價格不便列出
WIS匯智 GeoTrust QuickSSL 專業數位憑證 價格不便列出
PCHome GEOTRUST SSL 專業憑證 價格不便列出
群盟科技 QuickSSL 價格不便列出

總結上面的問與答:擁有「有效」SSL憑證的伺服器值得信任,和這類伺服器做SSL加密連線在信件內容資安上才有保障。在此強烈建議MIS大大們申請「有效」的SSL憑證才能讓用戶安心使用本郵件伺服器做訊息交換,如同網路銀行網頁使用SSL加密協定保障客戶的重要金融資料。

G. 請按照下面的步驟建置「有效」的SSL憑證:

1. 在郵件伺服器的內建憑證金鑰產生工具建立新的SSL憑證 -

點選畫面中「建立新的」開啟「SSL憑證及私密金鑰產生工具」

ssl certificate making

在「SSL憑證及私密金鑰產生工具」填妥貴公司資訊點選「建立憑證以及私密金鑰」建立新SSL憑證。

csr key generator screen shot

2. 以新產生的SSL憑證向CA申請SSL憑證的信任簽署 -

在「SSL(TLS)憑證以及私密金鑰設定」項目中,點取「顯示CSR」的按鈕可檢視CSR檔,我們要使用其檔案內容向CA做憑證信任簽署申請。請參考下列CA憑證簽署示範教學:RapidSSL Comodo
(為何選這個國外服務商呢?因為價格便宜,其它種類各有其優缺點請自行比較)

3. 匯入CA信任簽署過的SSL憑證 -

承「步驟二」的簽署申請以後,我們下載回來的SSL憑證檔案已經生效,請妥善保存。然後回到「SSL(TLS)憑證以及私密金鑰設定」的項目中:

Ⅰ. 在「網域金鑰及憑證」的下拉選單中選取相關網域。
Ⅱ. 輸入「私密金鑰存取密碼」。
Ⅲ. 點選在「SSL憑證(X.509)」右手邊的「匯入」並瀏覽至「SSL憑證」檔案所在的子目錄點選對應的crt檔。
Ⅳ. 點選在「SSL憑證鍊(X.509)」。 右手邊的「匯入」並瀏覽至「SSL憑證鍊」檔案所在的子目錄點選對應的crt檔。

ssl cert and key import

3. 檢查SSL憑證是否順利置入 -

請查看下圖「伺服器金鑰及SSL憑證」的檢查結果為「已載入,CN值 xyz.com.tw 與主要網域(或MX主機)吻合。」。表示已經載入成功。

check_cert_implement

H. 什麼是TLS SNI (Server Name Indication)?

答:TLS SNI是一種TLS通訊協定的擴充,它藉由將伺服器名稱做為交涉的一部分來達到TLS主機虛擬化的目的,或可以說,只需一個IP位址,就可架設多組提供SSL郵件服務的伺服器,並且能夠套用各自的伺服器憑證,這是不支援TLS SNI擴充的郵件伺服器所沒有辦法做到的境界。目前,Outlook 2007, 2010, iOS Mail, Apple Mail, Thunderbird, Opera 皆支援 TLS SNI 的功能,但是請不要忘了將這些郵件軟體更新至最新版本。

使用條款 舉報錯誤 聯繫我們 名詞解釋

IMAP 郵件伺服器架設 SPF
反向網站互聯: 郵件伺服器 Mail Server Mail Server軟體