SSL與TLS功能啟用以及憑證建立
快速分類速查 了解SSL&TLS憑證 無效SSL憑證範例 建置「有效」SSL憑證
A. SSL與TLS是什麼?它們的功能是什麼?
答:SSL(Security Socket Layer)是一種廣泛運用在網際網路上的資料加密協定;TLS是SSL的下一代協定。透過它我們可以:
1. 在網際網路上傳輸加密過的資料以達到資安的目的。
2. 保持從端點A到端點B的傳送路途中資料的完整性。
3. 透過SSL憑證內的公共金鑰加密資料傳輸至伺服器端,伺服器端用私密金鑰解密來證明自己的身份。
B. SSL憑證是什麼?它的功能是什麼?
答:SSL憑證 (Certificate) 像身分證一般可以在網際網路上證明自己的身份。在資料的加密傳輸開始之前,伺服器透過「有效」的SSL憑證告訴用戶端自己是值得信賴的伺服器。。
C. 如何取得SSL憑證?
答:本電郵伺服器可產生SSL憑證,但是此時的憑證尚屬「無效」的憑證。何謂「無效」?何謂「有效」?請往下看。
D. 何謂「有效」的SSL憑證?
答:SSL憑證分為「有效」的憑證和「無效」的憑證。其中的分別在於「有效」的憑證是經過具有公信力的憑證簽署單位(Certificate Authority)信任簽署過的。CA在簽發之前會對申請人做身份的核對以預防網路詐騙。
E. 「無效」的SSL安全性憑證會產生憑證錯誤的問題嗎?
答:「無效」的憑證因「缺乏CA的身份核對」或是「伺服器的網域名和憑證上的CN不符合時」在身份證明上是沒有效應的,會產生憑證錯誤的問題,比如憑證錯誤 瀏覽已封鎖或憑證過期。電郵伺服器若使用「無效」的SSL憑證,用戶端與電郵伺服器連線時會出現類似下列令使用者不勝其擾的警告訊息:
Outlook 2010 憑證鍊終止警告範例:
Windows Live Mail 2011 憑證主機名稱(CN)不正確範例:
Thunderbird 憑證身份未知警告範例:
Apple iOS 憑證身份無法驗證警告範例:
F. 哪些SSL憑證簽署單位可以幫我簽發「有效」的SSL憑證信任簽署?
答:國內國外皆有簽署單位:
國外簽署商 | Comodo | PositiveSSL Certificate | 價格不便列出 | |
RapidSSL | RapidSSL Certificates | 價格不便列出 | ||
國內簽署商 | GlobalSign China 环玺信息科技 | SSL 数字证书 | 價格不便列出 | |
上海域联软件 | EV SSL证书 | 價格不便列出 | ||
北京埃欧信科技 | SSL 数字证书 | 價格不便列出 |
總結上面的問與答:擁有「有效」SSL憑證的伺服器值得信任,和這類伺服器做SSL加密連線在信件內容資安上才有保障。在此強烈建議MIS大大們申請「有效」的SSL憑證才能讓用戶安心使用本電郵伺服器做訊息交換,如同網路銀行網頁使用SSL加密協定保障客戶的重要金融資料。
G. 請按照下面的步驟建置「有效」的SSL憑證:
1. 在電郵伺服器的內建憑證金鑰產生工具建立新的SSL憑證 -
點選畫面中「建立新的」開啟「SSL憑證及私密金鑰產生工具」
在「SSL憑證及私密金鑰產生工具」填妥貴公司資訊點選「建立憑證以及私密金鑰」建立新SSL憑證。
2. 以新產生的SSL憑證向CA申請SSL憑證的信任簽署 -
在「SSL(TLS)憑證以及私密金鑰設定」項目中,點取「顯示CSR」的按鈕可檢視CSR檔,我們要使用其檔案內容向CA做憑證信任簽署申請。請參考下列CA憑證簽署示範教學:RapidSSL Comodo
(為何選這個國外服務商呢?因為價格便宜,其它種類各有其優缺點請自行比較)
3. 匯入CA信任簽署過的SSL憑證 -
承「步驟二」的簽署申請以後,我們下載回來的SSL憑證檔案已經生效,請妥善保存。然後回到「SSL(TLS)憑證以及私密金鑰設定」的項目中:
Ⅰ. 在「網域金鑰及憑證」的下拉選單中選取相關網域。
Ⅱ. 輸入「私密金鑰存取密碼」。
Ⅲ. 點選在「SSL憑證(X.509)」右手邊的「匯入」並瀏覽至「SSL憑證」檔案所在的子目錄點選對應的crt檔。
Ⅳ. 點選在「SSL憑證鍊(X.509)」。 右手邊的「匯入」並瀏覽至「SSL憑證鍊」檔案所在的子目錄點選對應的crt檔。
3. 檢查SSL憑證是否順利置入 -
請查看下圖「伺服器金鑰及SSL憑證」的檢查結果為「已載入,CN值 xyz.com.tw 與主要網域(或MX主機)吻合。」。表示已經載入成功。
H. 什麼是TLS SNI (Server Name Indication)?
答:TLS SNI是一種TLS通訊協定的擴充,它藉由將伺服器名稱做為交涉的一部分來達到TLS主機虛擬化的目的,或可以說,只需一個IP位址,就可架設多組提供SSL郵件服務的伺服器,並且能夠套用各自的伺服器憑證,這是不支援TLS SNI擴充的電郵伺服器所沒有辦法做到的境界。目前,Outlook 2007, 2010, iOS Mail, Apple Mail, Thunderbird, Opera 皆支援 TLS SNI 的功能,但是請不要忘了將這些郵件軟體更新至最新版本。