MX Mail SSL 自製根憑證 (虛擬假 CA憑證 )
目前此項作業需要由本公司客服人員進行
須開放管理介面, admin 管理權限
SSH 22 port 工程服務需要登入 root 權限下執行動作
會重啟元件,但不須重啟系統
後續即可直接進行登入,但客戶瀏覽器需要匯入憑證
設定 兒> 進階(顯示進階 ) > 管理或檢視憑證 > 匯入
安裝好憑證後,管理介面或是 webmail 的憑證錯誤,就會消失,直接登入
安裝後,客戶用戶端設定方式
安裝完成後,客戶端可以在 admin 的網路硬碟中,發現增加了資料夾與檔案
然後利用FTP功能或是另存檔案,網路芳鄰等,將檔案下載,並在win 平臺,匯入信用憑證即可
公開金鑰認證(Public key certificate),又稱公開金鑰憑證、公鑰憑證、數位憑證(digital certificate)、數位認證、身分憑證(identity certificate)或安全憑證,是一種電子檔案,用來證明公開金鑰所有者的身分。認證中,包含了金鑰資訊,擁有者身分資訊,以及這份檔案的數位簽章,以保證這個檔案的整體內容正確無誤。如果簽章是正確的,而使用者可以相信簽署者。
SSL憑証(SSL certificate)的原理
基本的public key, private key 和 https的關系如下:
server上要先生成private key, public key兩把key。( 可以互相上鎖、解鎖 )
其中,private key要留在主機裡,public key則是公開給全世界知道
當一般使用者在瀏覽網頁時拿到這台主機的public key之後,browser就可以靠public key來加密,由此而建立http一般使用者拿到public key時,他心裡有一個疑問,「我怎麼知道,現在給我public key的你,沒有被別人冒用了呢?」 這種時候,使用者的瀏覽器就會冒出警告訊息,說收到的public key並沒有被認証過。
於是,為了電子商務的安全性,就要由第三方公証機關 「憑証中心」來代為處理這個「信賴」的問題。將上述的模型複雜化,引入了「憑証中心」這個角色之後,就變成如下:
public key送給憑証中心簽署認証。這種時候,因為要送public key和相關的一些網站基本資訊出去給憑証中心簽署認証,需要把public key放進一個文件檔,這個文件檔就叫做certificate signing request,副檔名通常是CSR )
憑証中心簽署完畢後的public key,又可以稱之為ceriticate 。certificate自憑証中心取回之後,要安裝入主機(server),作為SSL的public key 來使用
當一般使用者在瀏覽網頁時拿到這台主機的public key( 這時候可以叫它certificate )之後,browser裡頭早就預先安裝好的憑証中心public key會認証這個certificate,然後回報說,這個網站的https是沒有問題的。於是browser就可以用public key來加密,由此而建立https ( 如此一來,browser就不會跳出警告訊息了。)
付費憑證的需求 :
• 憑證品牌知名度與國際信譽
• 憑證有效期限,是否會因故終止或無法續約
• 瀏覽器相容性
• 憑證核准的驗證方式
• 是否有提供認證核可的憑證標章
今年 Chrome(瀏覽器 Chrome56)在網站有裝 SSL 的情況下,會顯示安全的字樣,讓瀏覽者知道這個網站是安全的(參考: 發現了嗎? Chrome 已在主動告訴瀏覽者這個網站是否安全了),以提高客戶的信任度。
根據申請的憑證等級不同
域名型 SSL 數位憑證 / 企業型 SSL 數位憑證 / 增強型 SSL 數位憑證
所以依照授權內容與用途等,憑證需企業自行申請,購置,安裝,與發佈應用
費用從授權內容與用途與時間,從大陸數千元到國際數萬,數十,百萬均有,注意這是一段時間內有效而已
從而只是先信任有憑證授權而已,至於安裝的網站或是系統,設備等的安全性仍是由系統另外去維護
總結:
是否需要憑證,因應企業需求或是形象等而定
憑證需要付費,使用一定期間有效而已
是否瀏覽器跳出警示是有問題~否,這只是沒有購置公開授權憑證或過期憑證
即使付費憑證,也需要用戶願意信任,下次仍會跳出信任問題,用戶要信任與匯入憑證才可以
過期憑證或未公開付費認證憑證是否有問題~不一定,只要用戶裝置願意相信,仍是可以,匯入憑證與自行調整效期
我們系統可以協助客戶將企業購置的憑證進行安裝於系統上
也可以修改非購賣付費憑證授權時間,客戶裝置自行下載,信任與匯入憑證