欢迎您,请 登录   |   马上注册
关于我们021-52582199 在线咨询 >
台湾  |  香港  |  老版本网站入口GeoTrust官方授权中国区合作伙伴
解决方案 > 电子邮件 SSL安全证书解决方案

电子邮件 SSL安全证书解决方案

前提

  现在,网络窃听太容易了!随着无线网络的普及,网络窃听愈演愈烈。接入同一个无线网络的计算机之间可以互相窃听网络数据,一个不太懂计算机专业技术的人,从网上下载免费的窃听软件,通过电信、网通、移动等公司提供的无线网络(WLAN),就可以轻易的获得其他人HTTP访问记录和内容、E-Mail帐户信息、无线上网的用户名和密码。电信、网通、移动等公司提供的无线网络(WLAN)已经成为网络帐户盗窃的温床。

  传统的邮件包括信封和信本身;电子邮件则包括信头和信体。现存的端到端安全电子邮件技术(PGP)一般只对信体进行加密和签名,而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。然而,一些应用环境下,可能会要求信头在传输过程中也能保密,这就需要传输层的技术作为后盾。目前主要有两种方式实现电子邮件在传输过程中的安全,一种是利用SSL SMTP和SSL POP3,另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输封装起来,当然也就包括了电子邮件。VPN技术相对比较复杂,而且需要更新网关并在客户端安装软件,部署成本高,使用更复杂,而利用SSL SMTP和SSL POP3技术,则只需要在服务器端做很少的改动,而客户端不需要任何其他软件,而且使用方式和传统方式一样,是目前最容易推广的一种方案。

 包括Google的Gmail在内的很多邮件服务商都开始使用SSL加密了,您也应该行动起来,避免邮件泄密。

选择证书

我们推荐在安全邮件套件采用:全球信SSL专业版(GeoTrust QuickSSL Premium) 或者 全球信SSL企业版(GeoTrust True BusinessID),这是因为: 

  • 申请便捷:通过GeoTrust专有的在线申请技术,和迅通诚信的在线平台,快速获得证书签发。  
  • 单根证书:安装简单,无需级联安装  
  • 兼容性强:100%兼容1999年以后发布的浏览器和邮件客户端。  
  • 经典案例:Google的Gmail就是使用全球信SSL企业版(GeoTrust True BusinessID)进行SMTP-SSL和POP3-SSL加密的。使用Internet Explorer打开 https://pop.gmail.com:995/ ,鼠标右键单击屏幕,选择“属性”->“证书”可以看到SSL证书。  

技术方案

  本文将告诉您,如何配置邮件服务器,让POP3、SMTP、IMAP、HTTP都启用SSL保护,免受网络窃听,避免资料被盗窃。本文的方式适合所有的电子邮件服务器,包括Exchange Server、Imail、Qmail、NTmail、MDaemon、Winmail等。

第一步:先下载并安装TCP-to-SSL通用转换软件Stunnel,下载地址:这里。

第二步:修改stunel.conf文件,如果邮件服务器没有提供IMAP或者HTTP服务,可以删除对于的部分:

[pop3s]

accept = 995

; 邮件服务器IP地址和POP3端口号

connect = 127.0.0.1:110

[imaps]

accept = 993

; 邮件服务器IP地址和IMAP端口号

connect = 127.0.0.1:143

[ssmtp]

accept = 465

; 邮件服务器IP地址和SMTP端口号

connect = 127.0.0.1:25

[https]

accept = 443

; 邮件服务器IP地址和HTTP端口号

connect = 127.0.0.1:8080

TIMEOUTclose = 0

第三步,启动Stunel软件。如果你把Stunel安装为Service模式,则启动Stunel Service,否则启动Stunel.exe 程序

第四步,如果你的邮件服务器启动了HTTP访问模式,请用浏览器访问 HTTPS://stunel服务器地址/,你将看到一个安全警告“您与该网站交换的信息不会被其它人查看或更改。但该网站的安全证书有问题。是否继续?”,选择“是”。这时,你的浏览器已经和邮件服务器通过SSL方式访问了。如果无法访问,请检查一下是否使用的防火墙,如果使用防火墙,请开启相应端口。 

第五步,配置邮件客户端,本文已Outlook Express 6.0为例,其它邮件客户端的配置方式类似,先按照正常方式建立邮件帐户,然后按下图,选择“属性”

outlook SSL加载说明1

在“服务器”属性页,接收邮件(POP3)和发送邮件(SMTP)的服务器都填写“stunel服务器地址” 

 outlook SSL加载说明2

选择“高级”属性页后,设置发送邮件(SMTP)端口号为465,接收邮件(POP3)端口号为995,并选择“此服务器要求安全连接(SSL)”

 

邮件客户端配置好了。在收发邮件时,Outlook express会出现一个“证书警告”,忽略这个警告。现在你通过SMTP发邮件和POP3收邮件都通过SSL加密保护了。

为了避免证书安全警告,你接下去要申请一个正式的SSL证书,申请办法如下:

第一步:下载OpenSSL,下载地址 http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip 

第二步:解压缩到c:\openssl目录下

第三步:运行cmd.exe,进入命令行窗口,运行命令:

    cd c:\openssl

    set OPENSSL_CONF= openssl.cnf

    openssl req -new -nodes -keyout server.key -out server.csr

于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文。

在这一命令执行的过程中,系统会要求您填写如下信息:

Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。 

State or Province Name (full name): 省份,比如填写Shanghai 

Locality Name (eg, city): 城市,比如填写Shanghai 

Organization Name (eg, company): 组织单位,比如填写公司名的拼音

Organizational Unit Name (eg, section): 比如填写IT Dept

Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:abc.com 是一个网站; www.abc.com 是另外一个网站; pay.abc.com 又是另外一个网站。 注意:这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。

Email Address: 邮件地址,可以不填 

A challenge password: 可以不填 

An optional company name:可以不填

第四步:为确认您对所申请的SSL服务器域名拥有管理权,认证系统将发电子邮件到指定的管理员邮箱中。 例如:您准备申请的SSL证书服务器域名为host.yourdomain.com,在递交申请时,请确认您可以接收 admin@yourdomain.com 或者 admin@host.yourdomain.com 

第五步:到 这里 申请SSL证书 ,递交第三步产生的server.csr,并输入申请的相关信息

第六步:你将收到一份来自美国Geotrust的申请确认邮件,点击邮件中的URL,然后Approve你的申请

第七步:你将收到包含证书的邮件,将邮件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分复制到notepad.exe中,然后用保存为server.crt

第八步:将第二步产生的server.key和第七步产生的server.crt,复制到Stunnel目录下,修改stunel.conf文件:

     cert = server.crt

     key = server.key

第九步:重启Stunnel

你再用浏览器访问HTTPS://Stunnel服务器/ 或者用Outlook express收发邮件,就没有安全警告了。

注意:

(1) 邮件客户端设置SMTP/POP3服务器时,名称必须与证书名字一致,否则可能无法收发邮件

(2) 启用SSL后,你可以用防火墙屏蔽掉原来的POP3的110端口,来强制用户使用POP3-SSL的995端口;但是你不能屏蔽掉原来邮件服务器的SMTP的25端口,因为这个端口不仅用来给邮件客户端发邮件,也用来服务器之间投递邮件。

 



文档编写日期:2016年08月16日
为什么选择我们
  • 官方授权
    中国区合作伙伴
  • 证书远程协助
    安装服务
  • 无法安装
    30天退款保障
  • 免费提供
    28天试用证书