Jak fungují výše uvedené principy v praxi, si můžete nejsnáze ověřit při použití služby Secure HTTP. WWW prohlížeče totiž umějí zobrazovat informace o certifikátech, zatímco u ostatních služeb zůstane uživateli vše skryto.
Kerio MailServer od verze 6.0 vygeneruje
automaticky při prvním spuštění po instalaci self-signed certifikát (certifikát
podepsaný sám sebou) na jméno serveru. V adresáři, kde je Kerio
MailServer instalován, je uložen v souboru
server.crt
. Druhý soubor server.key
obsahuje privátní klíč serveru.
Pokusíte-li se bezprostředně po instalaci Kerio MailServeru přistoupit prohlížečem ke službě Secure HTTP, zobrazí se bezpečnostní varování obsahující zhruba následující informace (záleží na typu prohlížeče, zadaném jménu počítače atd.).
Certifikát nebyl vydán organizací, kterou máte nastavenu jako důvěryhodnou. Certifikát je totiž podepsán sám sebou (tzv. self-signed certifikát). Toto varování se nebude zobrazovat, jestliže certifikát nainstalujete (což můžete provést, protože znáte jeho původ).
Datum certifikátu je platné (certifikát je platný po omezenou dobu, typicky 1-2 roky).
Jméno certifikátu neodpovídá jménu serveru. Certifikát se vydává na
konkrétní jméno serveru (např. mail.firma.cz
), které musíte
také používat v klientovi (tento certifikát byl vystaven na fiktivní jméno
keriomail
).
Nyní máme k dispozici dvě možnosti. Nechat v Kerio MailServeru self-signed certifikát vygenerovaný během instalace Kerio MailServeru, nebo si obstarat certifikát ověřený důvěryhodnou certifikační autoritou. Nainstalovat na klientské stanice jdou obvykle oba typy certifikátů. V obou případech je také nutné certifikát spravovat v Kerio MailServeru v sekci (vizte obrázek 16.2 SSL certifikáty).
V sekci SSL certifikáty lze certifikáty zakládat, generovat požadavky na certifikáty pro certifikační autority nebo certifikáty exportovat. Všechny možnosti si nyní postupně představíme:
Stisknutím tlačítka server.crt
a
server.key
v podadresáři
sslcert
.
Vytvořený certifikát bude originální a bude vystaven vaší firmou vaší firmě na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Tento certifikát zajišťuje vašim klientům bezpečnost, protože příslušný privátní klíč znáte pouze vy a certifikát prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížečích upozorněni na to, že se nejedná o důvěryhodnou certifikační autoritu. Protože však vědí, kdo tento certifikát vytvořil a proč, mohou si jej nainstalovat. Tím mají zajištěnu bezpečnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splňuje všechny potřebné náležitosti.
Chcete-li získat plnohodnotný certifikát, musíte kontaktovat veřejnou certifikační autoritu (např. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Průběh certifikace je poměrně složitý a vyžaduje určité odborné znalosti. Kerio MailServer umožňuje vytvořit požadavek na certifikát, který lze exportovat a soubor odeslat certifikační organizaci.
Pozor: Nový certifikát bude používán až od příštího spuštění Kerio MailServer Engine. Chcete-li jej tedy využívat ihned, zastavte Engine a opět jej spusťte.
Tlačítko Nový certifikát), tak pro vytvoření požadavku na certifikát (volba Nový požadavek na certifikát). V obou případech vyplníte okno Vytvořit certifikát. Nutnými položkami pro vznik certifikátu jsou Jméno serveru a Země.
lze použít jak pro vytvoření nového certifikátu (volbaJméno serveru — doplníte jméno serveru, kde je spuštěna aplikace Kerio MailServer.
Název organizace — doplníte jméno organizace.
Oddělení — vyplňte pouze pokud má organizace více než jedno oddělení.
Město — doplňte město, kde organizace sídlí.
Stát nebo provincie — vyplňte kraj, ve kterém sídlí vaše organizace.
Země — vybrání země je nutné pro vytvoření certifikátu.
Označením certifikátu nebo požadavku na certifikát a použitím tlačítka
se otevře okno s detaily certifikátu.Tlačítkem lze importovat certifikát (podepsaný sám sebou nebo vydaný certifikační autoritou).
Tlačítko umožňuje export aktivního certifikátu, požadavku na certifikát nebo soukromého klíče. Exportovaný požadavek na certifikát můžete zaslat certifikační organizaci.
Tlačítkem lze vymazat označenou položku (certifikát nebo požadavek na certifikát).
Tlačítko umožňuje nastavit vybraný certifikát jako aktivní.
Kerio MailServer umožňuje ověřování takzvaným „intermediate“ certifikátem. Aby bylo ověřování tímto typem certifikátu funkční, je třeba jej přidat do Kerio MailServeru jedním z následujících postupů:
Soubor s „intermediate“ certifikátem přidáme
do adresáře /sslca
a certifikát serveru spolu se soukromým
klíčem umístíme do adresáře /sslcert
. Oba zmiňované
adresáře jsou umístěny v adresáři, kde je Kerio
MailServer nainstalován.
Vzdáleně provedeme import certifikátů následovně:
V libovolném textovém editoru otevřeme certifikát serveru a „intermediate“ certifikát.
V „intermediate“ certifikátu označíme kurzorem řetězec certifikátu a zkopírujeme jej do souboru s certifikátem serveru za řetězec certifikátu serveru. Soubor s certifikátem pak bude vypadat následovně:
-----BEGIN CERTIFICATE----- MIIDOjCCAqOgAwIBAgIDPmR/MA0GCSqGSIb3DQEBBAUAMFMxCzAJBgNVBAYTAl MSUwIwYDVQQKExxUaGF3dGUgQ29uc3VsdGluZyAoUHR5KSBMdGQuMR0wGwYDVQ ..... this is a server SSL certificate ... ukrkDt4cgQxE6JSEprDiP+nShuh9uk4aUCKMg/g3VgEMulkROzFl6zinDg5grz QspOQTEYoqrc3H4Bwt8= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDMzCCApygAwIBAgIEMAAAATANBgkqhkiG9w0BAQUFADCBxDELMAkGA1UEBh WkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBUb3duMR ..... this is an intermediate SSL certificate which signed the server certificate... 5BjLqgQRk82bFi1uoG9bNm+E6o3tiUEDywrgrVX60CjbW1+y0CdMaq7dlpszRB t14EmBxKYw== -----END CERTIFICATE-----
Certifikát serveru uložíme.
Otevřeme Kerio Administration Console a přepneme se do sekce SSL certifikáty.
Certifikát serveru importujeme pomocí tlačítka
.