Alt-N Technologies 的 MDaemon 电子邮件服务器 v10.0 是一个基于 SMTP/POP3/IMAP 标准的邮件服务器,支持 Windows Vista/XP/2008/2003/2000 系统并提供一套完整的邮件服务功能。MDaemon 定位于管理任何个人用户的邮件需求,包括一套强大的集成工具,以便于管理账户和邮件格式。MDaemon 提供了一套可扩展的 SMTP、POP3、和 IMAP4 邮件服务器,其中包括 LDAP 支持、一套集成的基于浏览器的邮件客户端,内容过滤器、垃圾邮件拦截器、广泛的安全性能,以及更多。
在安全通信方面,MDaemon支持SSL\TLS通信协议,SMTP和POP3都可以工作在SMTPS和POP3S方式下。MDaemon本身可以自动生成一个自签名的SSL证书,来适应邮件在SSL通信下使用,但如果是采用MDaemon自动生成的自签名证书,必须将此证书导入各个客户端的信任证书区域,这个工作是非常麻烦和繁琐的,而且由于是自签名的证书,无法验证邮件服务器的身份,也无法方式钓鱼攻击,为了避免部署的困难和安全考虑,一般用户都采用国际信任的CA办法的SSL证书。
和一般的Web Server不同,MDaemon没有制作CSR,并且导入签名的证书等功能,所以要使用第三方CA签发的SSL证书,必须在外部先将证书生成,然后将证书导入到服务器中,后面会介绍一些比较简单,快速的方法。
还有一个比较重要的问题,MDaemon 对多个域不支持不同的证书 - 所有域必须共享一个单独的证书。 若用户可能连接的主机名存在着替换主机名,并且您希望该证书同样适用于那些名称,那么请安装多域名,或者通配符证书,即可以通过一个证书来覆盖所有需要使用的域名。
最简单的办法,就是使用 OpenSSL CSR在线生成器: http://www.myssl.cn/openssl/createcsr.asp
如果有特殊的要求,譬如需要2048位长的密钥,或者需要支持中文,则可以使用Openssl命令行工具。
1、“OpenSSL”工具被用来生成CSR和密钥,它来自于OpenSSL包,一般被安装在/usr/local/ssl/bin目录下,如果您安装在其他目录下,请做相应调整,你也可以下载使用OpenSSL 0.9.8.a for win32,下载地址是: http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip
2、请运行 cmd.exe 进入命令窗口,执行:
set OPENSSL_CONF=openssl.cnf
openssl req -new -nodes -keyout server.key -out server.csr
3、于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。
4、在这一命令执行的过程中,系统会要求您填写如下信息:
Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
|
State or Province Name (full name)
|
省份,比如填写Shanghai
|
| Locality Name (eg, city)
|
城市,比如填写Shanghai
|
| Organization Name (eg, company)
|
组织单位,比如填写公司名称的拼音
|
| Organizational Unit Name (eg, section)
|
比如填写IT Dept
|
| Common Name (eg, your websites domain name):
|
行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
pay.abc.com 又是另外一个网站。
|
| Email Address
|
邮件地址,可以不填
|
| A challenge password
|
可以不填
|
| An optional company name
|
可以不填
|
以上所有字段必须用英文或拼音形式输入。
5. 用一个文本编辑器(Notepad或 VI),打开“server.csr”,把里面的内容全部复制到CSR信息栏 中:
6. 点击“继续”
同样,合并PFX文件最简单的方式,就是采用PFX在线合成工具:
http://www.myssl.cn/openssl/createpfx.asp
如果无法使用在线工具(目前在线工具只支持Verisign公司签发的证书),则需要用Openssl命令,将私钥保存为ssl.key,将CA签好名的证书文件保存为ssl.cer,则合并命令为:
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key
如果CA签发的不是单根证书(GeoTrust都是单根证书,不需要考虑这种情况)还有一个中间证书chain.cer,则命令为:
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key -certfie chain.cer
要在MDaemon中使用CA签发的SSL证书,首先需要将证书导入本地计算机帐户中,具体操作如下:
1.首先,将PFX文件复制到服务器c:\下。在“运行”菜单中,输入MMC,回车。点击看大图
2.选择菜单“文件”-“添加/删除管理单元”:点击看大图
3.点击“添加”,选择“证书”,点击“添加”:点击看大图
4.选择“计算机帐户”,点击“下一步”:点击看大图
5.选择“本地计算机”,点击“完成”:点击看大图
6.选择“证书”-“个人”,右键展开后,选择“所有任务”-“导入”:
点击看大图
7.点击“下一步”:
点击看大图
8.选择需要导入的证书,C:\SSL.PFX,点击“下一步”:
点击看大图
9.输入证书密码,就是在证书合并时设定的密码,(推荐不要选择“将私钥标记成可导出的”,如果选择此项,其他人可能从服务器上将证书导出),点击“下一步”:
点击看大图
10.选择将证书放入“个人”存储区,点击“下一步”,再选择“完成”,则证书已经导入服务器。
点击看大图
1.点击“安全”--“安全设置”,在“安全设置”窗口左边,选择“SSL和TLS”:
点击看大图
2.选中“启用SSL、STARTTLS和STLS”,如果需要更改SMTP和POP3的SSL端口,可以选中第二个选项,不过如果修改此项,需要所有客户端都使用新的端口,建议不要更改。
3.如果需要支持WEB MAIL,在左边窗口点击“SSL和TLS”下的“WorldClient”,点击看大图
4.在“接受以下类型的连接”中,选择“HTTP和HTTPS”。
5.证书安装完毕,要检查证书是否安装成功,可以在浏览器中输入https://mail.domain.com:995。稍等一会,可能浏览器不会出现小锁,可以直接在IE右小角状态栏,右边第2个小框(可以都点点看,虽然没有出现小锁图标)点击,如果证书安装成功,应该会出现服务器证书的信息窗口。
| 
