16.1  Certifikát Kerio MailServeru

Jak fungují výše uvedené principy v praxi, si můžete nejsnáze ověřit při použití služby Secure HTTP. WWW prohlížeče totiž umějí zobrazovat informace o certifikátech, zatímco u ostatních služeb zůstane uživateli vše skryto.

Kerio MailServer od verze 6.0 vygeneruje automaticky při prvním spuštění po instalaci self-signed certifikát (certifikát podepsaný sám sebou) na jméno serveru. V adresáři, kde je Kerio MailServer instalován, je uložen v souboru server.crt. Druhý soubor server.key obsahuje privátní klíč serveru.

Pokusíte-li se bezprostředně po instalaci Kerio MailServeru přistoupit prohlížečem ke službě Secure HTTP, zobrazí se bezpečnostní varování obsahující zhruba následující informace (záleží na typu prohlížeče, zadaném jménu počítače atd.).

Výstraha zabezpečení

Obrázek 16.1. Výstraha zabezpečení


Nyní máme k dispozici dvě možnosti. Nechat v Kerio MailServeru self-signed certifikát vygenerovaný během instalace Kerio MailServeru, nebo si obstarat certifikát ověřený důvěryhodnou certifikační autoritou. Nainstalovat na klientské stanice jdou obvykle oba typy certifikátů. V obou případech je také nutné certifikát spravovat v Kerio MailServeru v sekci Konfigurace → SSL certifikáty (vizte obrázek 16.2  SSL certifikáty).

SSL certifikáty

Obrázek 16.2. SSL certifikáty


V sekci SSL certifikáty lze certifikáty zakládat, generovat požadavky na certifikáty pro certifikační autority nebo certifikáty exportovat. Všechny možnosti si nyní postupně představíme:

Nový...

Stisknutím tlačítka Nový se zobrazí okno pro zadání údajů o vašem serveru a vaší organizaci. Po jejich vyplnění se vytvoří soubory server.crt a server.key v podadresáři sslcert.

Vytvořený certifikát bude originální a bude vystaven vaší firmou vaší firmě na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Tento certifikát zajišťuje vašim klientům bezpečnost, protože příslušný privátní klíč znáte pouze vy a certifikát prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížečích upozorněni na to, že se nejedná o důvěryhodnou certifikační autoritu. Protože však vědí, kdo tento certifikát vytvořil a proč, mohou si jej nainstalovat. Tím mají zajištěnu bezpečnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splňuje všechny potřebné náležitosti.

Chcete-li získat plnohodnotný certifikát, musíte kontaktovat veřejnou certifikační autoritu (např. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Průběh certifikace je poměrně složitý a vyžaduje určité odborné znalosti. Kerio MailServer umožňuje vytvořit požadavek na certifikát, který lze exportovat a soubor odeslat certifikační organizaci.

Pozor: Nový certifikát bude používán až od příštího spuštění Kerio MailServer Engine. Chcete-li jej tedy využívat ihned, zastavte Engine a opět jej spusťte.

Tlačítko Nový lze použít jak pro vytvoření nového certifikátu (volba Nový certifikát), tak pro vytvoření požadavku na certifikát (volba Nový požadavek na certifikát). V obou případech vyplníte okno Vytvořit certifikát. Nutnými položkami pro vznik certifikátu jsou Jméno serveru a Země.

Vytvoření certifikátu

Obrázek 16.3. Vytvoření certifikátu


  • Jméno serveru — doplníte jméno serveru, kde je spuštěna aplikace Kerio MailServer.

  • Název organizace — doplníte jméno organizace.

  • Oddělení — vyplňte pouze pokud má organizace více než jedno oddělení.

  • Město — doplňte město, kde organizace sídlí.

  • Stát nebo provincie — vyplňte kraj, ve kterém sídlí vaše organizace.

  • Země — vybrání země je nutné pro vytvoření certifikátu.

Zobrazit

Označením certifikátu nebo požadavku na certifikát a použitím tlačítka Zobrazit se otevře okno s detaily certifikátu.

Importovat...

Tlačítkem lze importovat certifikát (podepsaný sám sebou nebo vydaný certifikační autoritou).

Exportovat...

Tlačítko umožňuje export aktivního certifikátu, požadavku na certifikát nebo soukromého klíče. Exportovaný požadavek na certifikát můžete zaslat certifikační organizaci.

Odebrat

Tlačítkem lze vymazat označenou položku (certifikát nebo požadavek na certifikát).

Nastavit jako aktivní

Tlačítko umožňuje nastavit vybraný certifikát jako aktivní.

Intermediate certifikáty

Kerio MailServer umožňuje ověřování takzvaným „intermediate“ certifikátem. Aby bylo ověřování tímto typem certifikátu funkční, je třeba jej přidat do Kerio MailServeru jedním z následujících postupů:

Lokálně

Soubor s „intermediate“ certifikátem přidáme do adresáře /sslca a certifikát serveru spolu se soukromým klíčem umístíme do adresáře /sslcert. Oba zmiňované adresáře jsou umístěny v adresáři, kde je Kerio MailServer nainstalován.

Vzdáleně v Kerio Administration Console

Vzdáleně provedeme import certifikátů následovně:

  1. V libovolném textovém editoru otevřeme certifikát serveru a „intermediate“ certifikát.

  2. V „intermediate“ certifikátu označíme kurzorem řetězec certifikátu a zkopírujeme jej do souboru s certifikátem serveru za řetězec certifikátu serveru. Soubor s certifikátem pak bude vypadat následovně:

    -----BEGIN CERTIFICATE-----
    MIIDOjCCAqOgAwIBAgIDPmR/MA0GCSqGSIb3DQEBBAUAMFMxCzAJBgNVBAYTAl
    MSUwIwYDVQQKExxUaGF3dGUgQ29uc3VsdGluZyAoUHR5KSBMdGQuMR0wGwYDVQ
         ..... this is a server SSL certificate ...
    ukrkDt4cgQxE6JSEprDiP+nShuh9uk4aUCKMg/g3VgEMulkROzFl6zinDg5grz
    QspOQTEYoqrc3H4Bwt8=
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDMzCCApygAwIBAgIEMAAAATANBgkqhkiG9w0BAQUFADCBxDELMAkGA1UEBh
    WkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBUb3duMR
         ..... this is an intermediate SSL certificate which 
               signed the server certificate...
    5BjLqgQRk82bFi1uoG9bNm+E6o3tiUEDywrgrVX60CjbW1+y0CdMaq7dlpszRB
    t14EmBxKYw==
    -----END CERTIFICATE-----
    
  3. Certifikát serveru uložíme.

  4. Otevřeme Kerio Administration Console a přepneme se do sekce SSL certifikáty.

  5. Certifikát serveru importujeme pomocí tlačítka Importovat → Importovat nový certifikát.