База знаний
База знаний
Как установить самоподписанный SSL-сертификат в почтовый сервер?!
Опубликовано Philip Vokhmintsev on 21 July 2015 12:42

Сегодня я постараюсь ответить на вопрос, как сделать самоподписанный (например на 10 лет) сертификат для почтового посервера, и в дальнейшем, если нужно, подписать этот сертификат в удостоверяющем центре, чтобы у вас не возникало сообщений "данный сайт использует неизвестный SSL-сертификат издателя".

Генерация самоподписанного SSL-сертификата сервера на 10 лет.

1. Для начала нам потребуется скомпилированный пакет OpenSSL, для Windows.

Взять самую свежую сборку бинарников OpenSSL - можно на этом сайте.

Также вам потребуется ещё скачать два файла: файл настроек OpenSSL (openssl.cnf), который я нашёл где-то в интернете :) и бат-файл (generate.bat), который делает большую часть работы по внедрению самоподписанного сертификата в сервер. Они приложены к статье (внизу).

2. Вам надо скачать архив с новыми бинарными файлами OpenSSL и распаковать его в папку с именем - "c:\openssl". Туда же надо скопировать два файла, приложенных к статье (generate.bat и openssl.cnf).


3. Статья про то, какие команды выполняются и что именно происходит в bat-файле (generate.bat), находится тут.

Если есть интерес, можете заглянуть в этот файл и почитать комментарии.

При запуске этого файла, будут удалены старые файлы в папке с библиотекой OpenSSL, сгенерированы новые приватные и публичные ключи + у вас несколько раз попросят ввести пароль, минимум 4 символа.

Затем надо будет ввести параметры вашего сертификата: Страна, Регион, Город, Название обслуживающего домена и организации.

Последнее, что будет сделано, скопируется файл - "server.pem" в папку почтового сервера "C:\program files\entensys\CSE" и перезапустится сам почтовый сервер.

После этого у вас в сервере будет установлен самоподписанный сертификат примерно на 10 лет с параметрами вашей организации.

 

Подпись сертификата у регистратора SSL-сертификатов.

Теоретически можно будет потом на основе файла "server.crt" и файла "server.csr" отправить заявку регистратору SSL-сертификатов, чтобы он внёс свою цепочку в ваш сертификат

и тогда ваш сертификат будет корректным для всех систем и браузеров. Ошибка больше не появится в браузере у пользователей.

Почему это так и осталось только  "теоретически", потому что у меня пока нет 3500р. на проверку этого действия.

Если у кого-то получится, я поправлю и дополню статью.

Буду рад любым отзывам о статье с указанием ссылки (v@usergate.ru).



Вложения 
 
 openssl.cnf (10.65 KB)
 generate.bat (1.02 KB)
(3 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)

Copyright © 2001-2021 Компания UserGate

Условия использования   Конфиденциальность