IceWarp Tudásbázis
Tudásbázis » 202
2.2. WebMail használata biztonságos (titkosított és hitelesített) SSL kapcsolattal
Készült: 2010.01.01, IceWarp Levelező és Kommunikációs Szerver 10
Az IceWarp Levelező és Kommunikációs Szerver lehetővé teszi a levelezés bonyolítását biztonságos (titkosított és hitelesített) SSL kapcsolaton keresztül is.
A levelezőszerver tartalmaz egy az IceWarp Szerver által aláírt (de NEM hitelesített) alapértelmezett tanúsítványt, amivel az SSL kapcsolat minden további nélkül tesztelhető és használható. Ebben az esetben ugyanakkor a felhasználók a WebMail bejelentkezés során egy figyelmeztetést kapnak, miszerint:
- A webhelyhez tartozó biztonsági tanúsítványt nem megbízható hitelesítés szolgáltató állította ki.
- A webhelyhez tartozó tanúsítványt egy másik webhely címére állították ki.
Amennyiben ezen figyelmeztetéseket el szeretné kerülni két dolgot kell tennie:
- Használjon hitelesített tanúsítványt, melyet egy hitelesítés szolgáltató hitelesített.
(Az alábbi leírás tartalmazza ennek menetét.)
A hitelesítés további költséggel jár. Díjmentes megoldás esetén a kapcsolat ugyan biztonságos, de a felhasználók figyelmeztetést kapnak. Ez a figyelmeztetés kikapcsolható, amennyiben az aláíratlan tanúsítványban a felhasználó megbízik.) - A webhelyhez (IP és domén név) egyedileg és megfelelően létrehozott tanúsítványt használjon. (Az alábbi leírás tartalmazza ennek menetét.)
A felhasználók a kapcsolat és a tanúsítvány típusától függően böngészőjük címsorában az alábbi háttérszíneket és jeleket látják. (Internet Explorer 7 - Firefox 3)
Titkosítás nélküli standard HTTP kapcsolat, tanúsítvány nélkül
Titkosított HTTPS kapcsolat, pl. nem hitelesített
tanúsítvánnyal
(A kapcsolat titkosított, de a felhasználó bejelentkezéskor figyelmeztetést
kap.))
Titkosított HTTPS kapcsolat, hitelesített
tanúsítvánnyal
Normál szintű hitelesítés
Titkosított HTTPS kapcsolat, hitelesített
tanúsítvánnyal
Emelt szintű hitelesítés (EV - Extended Validation)
Az alábbi leírás bemutatja hogyan szerezzen be és telepítsen egy hitelesített tanúsítványt.
A tanúsítvány használatához az alábbi fő lépések szükségesek.
- Privát kulcs (Private Key) és Hitelesítési kérelem (CSR) (CSR - Certificate Signing Request) elkészítése.
- CSR elküldése hitelesítésre egy hitelesítés szolgáltatóhoz (CA - Certification Authority).
- A hitelesítés szolgáltató által hitelesített tanúsítvány egyesítése a privát kulccsal.
- Az egyesített tanúsítvány telepítése az IceWarp Levelező és Kommunikációs Szerverre.
- *CSAK ICEWARP SZERVER ÁLTAL ALÁÍRT TANÚSÍTVÁNY ESETÉN* Az IceWarp Szerver által aláírt de
NEM hitelesített tanúsítvány telepítése minden használni kívánt böngészőbe.
(Erre a lépésre természetesen CSAK akkor van szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hozott létre. Saját, hitelesített tanúsítvány esetén az a lépés NEM szükséges.)
Privát kulcs (Private Key) és Hitelesítési kérelem (CSR) (CSR - Certificate Signing Request) elkészítése
Az IceWarp Levelező és Kommunikációs Szerver > Rendszer > Tanúsítványok alatt válassza a Szerver tanúsítványok lapon a Tanúsítvány létrehozása... gombot. Majd a megjelenő ablakban értelem szerűen töltse ki az adatokat.
Privátkulcs és Hitelesítési kérelem (CSR) létrehozása
A Domén név mezőben a WebMail által használt
levelezőszerver domén nevét adja meg (https:// nélkül) ill. azt a címet, amihez
az SSL tanúsítványt kéri..
Figyelem, a tanúsítvány különbséget tesz az encegem.hu és a
www.encegem.hu eltérő típusú nevekben és adott IP-hez természetesen csak
egyetlen tanúsítvány rendelhető.
Kapcsolja be a Tanúsítvány hitelesítési kérelem, hitelesítés
szolgáltató részére funkciót amennyiben a hitelesítési kérelmet egy
hitelesítés szolgáltatóval kívánja hitelesíteni.
Amennyiben ezt NEM kapcsolja be, akkor egy az IceWarp Szerver által aláírt (de NEM hitelesített)
hitelesítési kérelmet, azaz ennek segítségével egy díjmentes, az IceWarp Szerver által aláírt
(de NEM hitelesített) tanúsítványt hoz létre.
FIGYELEM A Privát kulcsot tartsa biztonságban és azt NE ossza meg senkivel!
Hitelesítési kérelem (CSR) elküldése hitelesítésre egy hitelesítés szolgáltatóhoz (CA - Certification Authority)
[Erre a lépésre akkor NINCS szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
A tanúsítvány hitelesítési kérelmet (CSR) (CSR - Certificate Signing Request) el kell küldeni egy hitelesítés szolgáltatóhoz (CA - Certification Authority). A hitelesítés szolgáltató feladata az elküldött adatok ellenőrzése, majd a hitelesített tanúsítvány kiállítása.
A tanúsítvány hitelesítési kérelem megadásakor (Enter Certificate Signing Request (CSR))
a szerver típusának (Select Server Platform) egyebet (Server
not listed) adjon meg,
majd másolja be a tanúsítvány hitelesítési kérelmet (Paste Certificate
Signing Request (CSR)), azaz a fent létrehozott icewarp_kerelem.pem
fájl tartalmát.
Végül néhány percen belül a megadott címre e-mailben megkapja a hitelesített tanúsítványt.
A hitelesítés szolgáltató által hitelesített tanúsítvány egyesítése a privát kulccsal
[Erre a lépésre akkor IS szüksége van, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
Az e-mailben kapott hitelesített tanúsítványt egyesíteni kell a fent létrehozott privát kulccsal.
Ehhez készítsen egy másolatot a fenti icewarp_privat.pem fájlról pl. icewarp__szerver.pem névvel, majd nyissa azt meg egy szöveg szerkesztővel mint pl. a jegyzettömb.
Ezután másolja a fájl végére a hitelesítés szolgáltató által e-mailben küldött hitelesített tanúsítványt. Illetve amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre akkor a fenti icewarp_kerelem.pem fájl tartalmát.
A fájl (icewarp__szerver.pem) tartalma végül így fog kinézni:
-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQCxmL1YN+tRLWVHzo5M6fEw7JUcUbf9MSMfAhl25k/jPkDP4Yt6
x9uVediXKB6Fj/sIUJFQVVL0XTuCGCNIzRfTO2OwSw6y90n2XSEQYmgPfzuiNjes
...
ee7TuKQY1vMtoGqAcQJBAKMdEaExADbDSOu1QAlebTv+kMb0yGG1uhvC9mBMICQ2
3i864DJc2QJne/iGuULr0Ca4ml5H6N8m5pOWuXvyWmE=
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIFlDCCBHygAwIBAgIQU91xvyWVjh+u6qPdgfjPUTANBgkqhkiG9w0BAQUFADCB
yzELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTAwLgYDVQQL
...
3shKojO3uD3BLD/kQ9rsyyoOhlSI+l8S5G0zJgcyzOVyM3vvP+HJ61WRfSowym2F
mzpUXdhhZsxq7CReRwi9g6GJmsHtJbhycSZhqegXx+EPDYKNCMU6nQ==
-----END CERTIFICATE-----
Az egyesített tanúsítvány telepítése az IceWarp Levelező és Kommunikációs Szerverre
[Erre a lépésre akkor IS szüksége van, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
Az Egyesített tanúsítványt az IceWarp Levelező és Kommunikációs Szerverre kell telepíteni.
Az IceWarp Levelező és Kommunikációs Szerver > Rendszer > Tanúsítványok alatt válassza a Hozzáadás... funkciót. Majd olvassa be a fenti icewarp__szerver.pem fájlt.
Egyesített tanúsítvány telepítése az IceWarp Levelező és Kommunikációs Szerverre
Az IP cím mezőbe a szerver IP címét adja meg, amit pl. parancssorban az IPCONFIG paranccsal olvashat ki.
A tanúsítvány használatához ÚJRA KELL INDÍTANI a szerver Vezérlés szolgáltatását.
IceWarp Szerver Adminisztráció > Rendszer > Szolgáltatások > Vezérlés
*CSAK ICEWARP SZERVER ÁLTAL ALÁÍRT TANÚSÍTVÁNY ESETÉN*
Az IceWarp
Szerver által aláírt de NEM hitelesített
tanúsítvány telepítése
minden használni kívánt böngészőbe
[Erre a lépésre CSAK akkor van szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
Mivel az IceWarp Szerver által aláírt bizonyítvány NEM hitelesített, ezért a WebMail felhasználói továbbra is a következő figyelmeztetést kapják:
- A webhelyhez tartozó biztonsági tanúsítványt nem megbízható hitelesítés szolgáltató állította ki.
Azért hogy ez a figyelmeztetés NE jelenjen meg, a WebMail felhasználóinak egyszerűen meg kell bízniuk az IceWarp Szerver által aláírt tanúsítványba. Ehhez az alábbiak szerint járjon el.
1. Lépjen be a WebMail-be a https elérést használva.
Az IceWarp Szerver által aláírt tanúsítványra figyelmeztető "Érvénytelen tanúsítvány"
2. Válassza alul a Tanúsítványok megtekintését, majd a Tanúsítvány telepítése... gombot.
Tanúsítvány telepítése a "Megbízható legfelső szintű hitelesítésszolgáltatók" közé
3. A Tanúsítványtárólónak NE az automatikus, hanem a Megbízható legfelső szintű hitelesítésszolgáltatók (Trusted Root Certificate) típust válassza.
4. A WebMailbe történő következő belépéskor semmilyen figyelmeztetést nem fog kapni.
WebMail használata biztonságos SSL kapcsolaton keresztül
A WebMail alapértelmezett elérése biztonságos (titkosított és
hitelesített) SSL kapcsolaton keresztül:
https://encegem.hu:32001/webmail
FIGYELEM a cím elején HTTP helyett HTTPS-t kell használni (HTTPS végén "S")
Az SSL kapcsolat portja az IceWarp Szerver Adminisztráció > Rendszer > Szolgáltatások > Vezérlés szolgáltatás kiválasztása után a Tulajdonságok funkcióra kattintva módosítható.
Amennyiben 443-as portot használja, a böngészőben az alábbi elérés
portmegjelölés nélkül is működik:
https://encegem.hu/webmail
Netlock tanúsítvány létrehozása
Ez a dokumentáció bemutatja a Netlock
www.NetLock.hu
tanúsítvány létrehozását IceWarp Levelező és Kommunikációs Szerverhez
IceWarp Levelező és Kommunikációs Szerveren kérelem létrehozása,
tanúsítványkérelem beadása,
kiadott tanúsítvány telepítése és megújított tanúsítvány cseréje.
NetLock tanúsítvány létrehozása IceWarp Levelező és Kommunikációs
Szerverhez [PDF]
Hitelesítés szolgáltatók
Magyarországon
Nemzetközi
- www.Comodo.com
- www.DigiCert.com
- www.GeoTrust.com
- www.GoDaddy.com
- www.NetworkSolutions.com
- www.RapidSSL.com
- www.Thawte.com
- www.VeriSign.com
Hitelesítés szolgáltatók listása
© 1999-2012 IceWarp Minden jog fenntartva.