IceWarp Tudásbázis
Tudásbázis » 202
2.2. WebMail használata biztonságos (titkosított és hitelesített) SSL kapcsolattal
Frissítve: IceWarp Levelező és Kommunikációs Szerver 11
Az IceWarp Levelező és Kommunikációs Szerver lehetővé teszi a levelezés bonyolítását biztonságos (titkosított és hitelesített) SSL kapcsolaton keresztül is.
A levelezőszerver tartalmaz egy az IceWarp Szerver által aláírt (de NEM hitelesített) alapértelmezett tanúsítványt, amivel az SSL kapcsolat minden további nélkül tesztelhető és használható. Ebben az esetben ugyanakkor a felhasználók a WebMail bejelentkezés során egy figyelmeztetést kapnak, miszerint:
- A webhelyhez tartozó biztonsági tanúsítványt nem megbízható hitelesítés szolgáltató állította ki.
- A webhelyhez tartozó tanúsítványt egy másik webhely címére állították ki.
Amennyiben ezen figyelmeztetéseket el szeretné kerülni két dolgot kell tennie:
- Használjon hitelesített tanúsítványt, melyet egy hitelesítés szolgáltató hitelesített.
(Az alábbi leírás tartalmazza ennek menetét.)
A hitelesítés további költséggel jár. Díjmentes megoldás esetén a kapcsolat ugyan biztonságos, de a felhasználók figyelmeztetést kapnak. Ez a figyelmeztetés kikapcsolható, amennyiben az aláíratlan tanúsítványban a felhasználó megbízik.) - A webhelyhez (IP és domén név) egyedileg és megfelelően létrehozott
tanúsítványt használjon.
Pl. https://www.encegem.hu és https://encegem.hu doménekhez tanúsítványtól függően 2db tanúsítvány kellhet. (Az alábbi leírás tartalmazza ennek menetét.)
A felhasználók a kapcsolat és a tanúsítvány típusától függően böngészőjük címsorában az alábbi háttérszíneket és jeleket látják. (Internet Explorer - Firefox)
Titkosítás nélküli standard HTTP kapcsolat, tanúsítvány nélkül
Titkosított HTTPS kapcsolat, pl. nem hitelesített
tanúsítvánnyal
(A kapcsolat titkosított, de a felhasználó bejelentkezéskor figyelmeztetést
kap.)
Titkosított HTTPS kapcsolat, hitelesített
tanúsítvánnyal
Normál szintű hitelesítés
Titkosított HTTPS kapcsolat, hitelesített
tanúsítvánnyal
Emelt szintű hitelesítés (EV - Extended Validation)
Az alábbi leírás bemutatja hogyan szerezzen be és telepítsen egy hitelesített tanúsítványt.
A tanúsítvány használatához az alábbi fő lépések szükségesek.
- Let’s Encrypt díjmentes hitelesítés szolgáltató használata
vagy
- Hitelesítési kérelem (CSR) (CSR - Certificate Signing Request) elkészítése az IceWarp Szerverrel. (A Privát kulcs (Private Key) automatikusan készül a háttérben.)
- CSR elküldése hitelesítésre egy tetszőleges hitelesítés szolgáltatóhoz (CA - Certification Authority).
- A hitelesítés szolgáltató által hitelesített tanúsítvány telepítése az IceWarp Szerverre. (Azaz egyesítése a privát kulccsal.)
illetve
- *CSAK ICEWARP SZERVER ÁLTAL ALÁÍRT TANÚSÍTVÁNY ESETÉN*
Az IceWarp Szerver által aláírt de NEM hitelesített tanúsítvány telepítése minden használni kívánt böngészőbe.
(Erre a lépésre természetesen CSAK akkor van szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hozott létre. Saját, hitelesített tanúsítvány esetén az a lépés NEM szükséges.)
Részletes leírás
A díjmentes Let’s Encrypt használata esetén csak meg kell adnia a domén nevet és minden a háttérben automatikusan zajlik.
IceWarp Szerver Adminisztráció > Rendszer > Tanúsítványok alatt válassza a Szerver tanúsítványok lapon a Tanúsítvány létrehozása... gombot. Majd a megjelenő ablakban értelem szerűen adja meg a domén nevet.
Ezután indítsa újra az adminisztrációs felületet. Amennyiben megjelenik a zöld pipa már használhatja is az SSL kapcsolatot pl. WebMailben HTTPS-en keresztül.
Hitelesítési kérelem (CSR) (CSR - Certificate Signing Request) elkészítése
IceWarp Szerver Adminisztráció > Rendszer > Tanúsítványok alatt válassza a Szerver tanúsítványok lapon a Tanúsítvány létrehozása... gombot. Majd a megjelenő ablakban értelem szerűen töltse ki az adatokat.
Hitelesítési kérelem (CSR) létrehozása
A Domén név mezőben a WebMail által használt
levelezőszerver domén nevét adja meg (https:// nélkül) ill. azt a címet, amihez
az SSL tanúsítványt kéri.
Figyelem, a tanúsítvány különbséget tesz az encegem.hu és a
www.encegem.hu címekben és adott IP-hez természetesen csak
egyetlen tanúsítvány rendelhető.
Kapcsolja be a Tanúsítvány hitelesítési kérelem, hitelesítés
szolgáltató részére funkciót amennyiben a hitelesítési kérelmet egy
hitelesítés szolgáltatóval kívánja hitelesíteni.
Amennyiben ezt NEM kapcsolja be, akkor egy az IceWarp Szerver által aláírt (de NEM hitelesített)
hitelesítési kérelmet, azaz ennek segítségével egy díjmentes, az IceWarp Szerver által aláírt
(de NEM hitelesített) tanúsítványt hoz létre.
Kattintson az OK gombra, majd adja meg a fájl nevét, pl. icewarp_kerelem.csr
FIGYELEM Ezzel egy időben a privát kulcs automatikusan létrehozásra kerül a config mappában. Azt tartsa biztonságban és NE ossza meg senkivel!
Hitelesítési kérelem (CSR) elküldése hitelesítésre egy hitelesítés szolgáltatóhoz (CA - Certification Authority)
[Erre a lépésre akkor NINCS szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
A tanúsítvány hitelesítési kérelmet (CSR) (CSR - Certificate Signing Request) el kell küldeni egy hitelesítés szolgáltatóhoz (CA - Certification Authority). A hitelesítés szolgáltató feladata az elküldött adatok ellenőrzése, majd a hitelesített tanúsítvány kiállítása.
A tanúsítvány hitelesítési kérelem megadásakor (Enter Certificate Signing Request (CSR))
a szerver típusának (Select Server Platform) egyebet (Server
not listed) adjon meg,
majd másolja be a tanúsítvány hitelesítési kérelmet (Paste Certificate
Signing Request (CSR)), azaz a fent létrehozott icewarp_kerelem.csr
fájl tartalmát.
Végül néhány percen belül a megadott címre e-mailben megkapja a hitelesített tanúsítványt (.CRT).
A hitelesítés szolgáltató által hitelesített tanúsítvány beolvasása az IceWarp Levelező és Kommunikációs Szerverre
[Erre a lépésre akkor NINCS szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
Az hitelesített tanúsítványt az IceWarp Levelező és Kommunikációs Szerverre kell telepíteni.
IceWarp Szerver Adminisztráció > Rendszer > Tanúsítványok alatt válassza ki az első lépésben létrehozott tanúsítvány sorát majd kattintson arra duplán. (Vagy Szerkesztés... gomb).
Hitelesített tanúsítvány telepítése az IceWarp Levelező és Kommunikációs Szerverre
Olvassa be a hitelesített tanúsítvány fájlt (.CRT) majd a megjelenő kérdésre válaszul tegye azt alapértelmezetté.
A tanúsítványtól függően elképzelhető hogy további közbenső tanúsítvány(oka)t is telepítenie kell. Erről a hitelesítés szolgáltató tájékoztatja. Ezeket a "CA tanúsítványok" fülön tudja hozzáadni.
(GoDaddy hitelesítés szolgáltató által kiállított hitelesített tanúsítvány esetén kövesse az itt leírt lépéseket a fájlok egyesítéséhez.)
A tanúsítvány használatához ÚJRA KELL INDÍTANI a szerver aktív moduljait.
IceWarp Szerver Adminisztráció > Rendszer > Szolgáltatások > Általános
*CSAK ICEWARP SZERVER ÁLTAL ALÁÍRT TANÚSÍTVÁNY ESETÉN*
Az IceWarp
Szerver által aláírt de NEM hitelesített
tanúsítvány telepítése
minden használni kívánt böngészőbe
[Erre a lépésre CSAK akkor van szüksége, amennyiben az IceWarp Szerver által aláírt (de NEM hitelesített) tanúsítványt hoz létre.]
Mivel az IceWarp Szerver által aláírt bizonyítvány NEM hitelesített, ezért a WebMail felhasználói továbbra is a következő figyelmeztetést kapják:
- A webhelyhez tartozó biztonsági tanúsítványt nem megbízható hitelesítés szolgáltató állította ki.
Azért hogy ez a figyelmeztetés NE jelenjen meg, a WebMail felhasználóinak egyszerűen meg kell bízniuk az IceWarp Szerver által aláírt tanúsítványba. Ehhez az alábbiak szerint járjon el.
1. Lépjen be a WebMail-be a https elérést használva.
Az IceWarp Szerver által aláírt tanúsítványra figyelmeztető "Érvénytelen tanúsítvány"
2. Válassza alul a Tanúsítványok megtekintését, majd a Tanúsítvány telepítése... gombot.
Tanúsítvány telepítése a "Megbízható legfelső szintű hitelesítésszolgáltatók" közé
3. A Tanúsítványtárólónak NE az automatikus, hanem a Megbízható legfelső szintű hitelesítésszolgáltatók (Trusted Root Certificate) típust válassza.
4. A WebMailbe történő következő belépéskor semmilyen figyelmeztetést nem fog kapni.
SSL kapcsolat ellenőrzése
Az SSL kapcsolat részletes ellenőrzését pl. az alábbi oldalak segítségével végezheti el.
WebMail használata biztonságos SSL kapcsolaton keresztül
A WebMail alapértelmezett elérése biztonságos (titkosított és
hitelesített) SSL kapcsolaton keresztül:
https://encegem.hu/webmail
FIGYELEM a cím elején HTTP helyett HTTPS-t kell használni (HTTPS végén "S")
Az SSL kapcsolat portja az IceWarp Szerver Adminisztráció > Rendszer > Szolgáltatások > Vezérlés szolgáltatás kiválasztása után a Tulajdonságok funkcióra kattintva módosítható.
Amennyiben 443-as portot használja, a böngészőben az alábbi elérés
portmegjelölés nélkül is működik:
https://encegem.hu/webmail
WebMail automatikus átirányítása a HTTPS-re
Amennyiben a WebMailt HTTPS-re szeretné átirányítani, az automatikus átirányítás az alábbiak szerint hozható létre.
IceWarp Szerver Adminisztráció > Web Szerver > Alapértelmezett sor >
Szerkesztés...
Átirányítás fülön > Hozzáadás
Forrás URL: http://encegem.hu/webmail
Cél URL: https://encegem.hu/webmail
KI: RegEx
Hozzáadás, amennyiben www előtaggal is használja
Forrás URL: http://www.encegem.hu/webmail
Cél URL: https://www.encegem.hu/webmail
KI: RegEx
Ezután böngészőjével ellenőrizze hogy a http://encegem.hu/webmail automatikusan a https címre ugrik.
Netlock tanúsítvány létrehozása
Ez a dokumentáció bemutatja a Netlock
www.NetLock.hu
tanúsítvány létrehozását IceWarp Levelező és Kommunikációs Szerverhez
IceWarp Levelező és Kommunikációs Szerveren kérelem létrehozása,
tanúsítványkérelem beadása,
kiadott tanúsítvány telepítése és megújított tanúsítvány cseréje.
NetLock tanúsítvány létrehozása IceWarp Levelező és Kommunikációs
Szerverhez [PDF]
Hitelesítés szolgáltatók
Magyarországon
Nemzetközi
- www.Comodo.com
- www.DigiCert.com
- www.GeoTrust.com
- www.GoDaddy.com
- www.NetworkSolutions.com
- www.RapidSSL.com
- www.Thawte.com
- www.VeriSign.com
Hitelesítés szolgáltatók listása
© IceWarp Minden jog fenntartva.