EVO Software Production
EVO Mail Server \ 教學文件 \ SSL 與 TLS 功能啟用以及憑證建立

SSL與TLS功能啟用以及憑證建立

快速分類速查 了解SSL&TLS憑證 無效SSL憑證範例 建置「有效」SSL憑證

A. SSL與TLS是什麼?它們的功能是什麼?

答:SSL(Security Socket Layer)是一種廣泛運用在網際網路上的資料加密協定;TLS是SSL的下一代協定。透過它我們可以:

1. 在網際網路上傳輸加密過的資料以達到資安的目的。
2. 保持從端點A到端點B的傳送路途中資料的完整性。
3. 透過SSL憑證內的公共金鑰加密資料傳輸至伺服器端,伺服器端用私密金鑰解密來證明自己的身份。

B. SSL憑證是什麼?它的功能是什麼?

答:SSL憑證 (Certificate) 像身分證一般可以在網際網路上證明自己的身份。在資料的加密傳輸開始之前,伺服器透過「有效」的SSL憑證告訴用戶端自己是值得信賴的伺服器。。

C. 如何取得SSL憑證?

答:本可產生SSL憑證,但是此時的憑證尚屬「無效」的憑證。何謂「無效」?何謂「有效」?請往下看。

D. 何謂「有效」的SSL憑證?

答:SSL憑證分為「有效」的憑證和「無效」的憑證。其中的分別在於「有效」的憑證是經過具有公信力的憑證簽署單位(Certificate Authority)信任簽署過的。CA在簽發之前會對申請人做身份的核對以預防網路詐騙。

E. 「無效」的SSL安全性憑證會產生憑證錯誤的問題嗎?

答:「無效」的憑證因「缺乏CA的身份核對」或是「伺服器的網域名和憑證上的CN不符合時」在身份證明上是沒有效應的,會產生憑證錯誤的問題,比如憑證錯誤 瀏覽已封鎖憑證過期。若使用「無效」的SSL憑證,用戶端與連線時會出現類似下列令使用者不勝其擾的警告訊息:

Outlook 2010 憑證鍊終止警告範例:

憑證鏈結已處理,但憑證鏈結在根憑證時被終止,因為憑證不受信任提供者信任

Windows Live Mail 2011 憑證主機名稱(CN)不正確範例:

您目前連線的伺服器使用的安全性憑證無法驗證 目標主機名稱不正確

Thunderbird 憑證身份未知警告範例:

此網站嘗試用無效的資訊識別自己 憑證未受信任,因為尚未被認得的憑證機構驗證;憑證錯誤 瀏覽已封鎖

Apple iOS 憑證身份無法驗證警告範例:

無法驗證伺服器識別身份;此網站的安全性憑證有問題

F. 哪些SSL憑證簽署單位可以幫我簽發「有效」的SSL憑證信任簽署?

答:國內國外皆有簽署單位:

SSL憑證簽署商列表 / 價格為一年合約費用(超過後會產生憑證過期的問題)
國外簽署商 Comodo PositiveSSL Certificate 價格不便列出
RapidSSL RapidSSL Certificates 價格不便列出
國內簽署商 寰宇認證 Domain Name SSL 價格不便列出
PCHome GEOTRUST SSL 專業憑證 價格不便列出
群盟科技 QuickSSL 價格不便列出

總結上面的問與答:擁有「有效」SSL憑證的伺服器值得信任,和這類伺服器做SSL加密連線在信件內容資安上才有保障。在此強烈建議MIS大大們申請「有效」的SSL憑證才能讓用戶安心使用本做訊息交換,如同網路銀行網頁使用SSL加密協定保障客戶的重要金融資料。

G. 請按照下面的步驟建置「有效」的SSL憑證:

1. 在的內建憑證金鑰產生工具建立新的SSL憑證 -

點選畫面中「建立新的」開啟「SSL憑證及私密金鑰產生工具」

ssl certificate making

在「SSL憑證及私密金鑰產生工具」填妥貴公司資訊點選「建立憑證以及私密金鑰」建立新SSL憑證。

csr key generator screen shot

2. 以新產生的SSL憑證向CA申請SSL憑證的信任簽署 -

在「SSL(TLS)憑證以及私密金鑰設定」項目中,點取「顯示CSR」的按鈕可檢視CSR檔,我們要使用其檔案內容向CA做憑證信任簽署申請。請參考下列CA憑證簽署示範教學:RapidSSL Comodo
(為何選這個國外服務商呢?因為價格便宜,其它種類各有其優缺點請自行比較)

3. 匯入CA信任簽署過的SSL憑證 -

承「步驟二」的簽署申請以後,我們下載回來的SSL憑證檔案已經生效,請妥善保存。然後回到「SSL(TLS)憑證以及私密金鑰設定」的項目中:

Ⅰ. 在「網域金鑰及憑證」的下拉選單中選取相關網域。
Ⅱ. 輸入「私密金鑰存取密碼」。
Ⅲ. 點選在「SSL憑證(X.509)」右手邊的「匯入」並瀏覽至「SSL憑證」檔案所在的子目錄點選對應的crt檔。
Ⅳ. 點選在「SSL憑證鍊(X.509)」。 右手邊的「匯入」並瀏覽至「SSL憑證鍊」檔案所在的子目錄點選對應的crt檔。

ssl cert and key import

3. 檢查SSL憑證是否順利置入 -

請查看下圖「伺服器金鑰及SSL憑證」的檢查結果為「已載入,CN值 xyz.com.tw 與主要網域(或MX主機)吻合。」。表示已經載入成功。

check_cert_implement

H. 什麼是TLS SNI (Server Name Indication)?

答:TLS SNI是一種TLS通訊協定的擴充,它藉由將伺服器名稱做為交涉的一部分來達到TLS主機虛擬化的目的,或可以說,只需一個IP位址,就可架設多組提供SSL郵件服務的伺服器,並且能夠套用各自的伺服器憑證,這是不支援TLS SNI擴充的所沒有辦法做到的境界。目前,Outlook 2007, 2010, iOS Mail, Apple Mail, Thunderbird, Opera 皆支援 TLS SNI 的功能,但是請不要忘了將這些郵件軟體更新至最新版本。

舉報錯誤 聯繫我們 名詞解釋

mail server 推薦 電子報 擋信問題 SSL憑證
反向網站互聯: Mail Server Mail Server軟體