本幫助可創建易郵SSL的安全連接站點.
應用在USB KEY等電子証書方式登錄使用易郵電子郵件系統.
進入系統後台的 "郵件處理器" - "生成使用証書登陸的服務器証書" 查看証書申請方式, 並進行以下配置步驟:
1. 如果是第三方CA機構簽發的服務器証書,並且不是採用第二種証書申請方式而是直接獲得服務器.p12,pfx密匙,請把服務器証書命名為resin.p12, 並讓CA機構設置保護密碼為test,放在 /ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/key/resin.p12 將CA機構所有的CA証書鏈中所有的CA証書放到/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/trusted 進入系統後台的"郵件處理器" "生成使用証書登陸的服務器証書" 第一種方式處理程序, 此程序判斷resin.p12是否存在, 如果存在就用第三方簽發的服務器証書配置SSL, 如果不存在就使用系統原有的/ymailserver/apps/ymailserver/var/mail/inboxes/smime/STDSmimeCa.p12簽發
2. 也可按第二種証書申請方式獲得服務器証書.
3. 運行第一種方式或第二種方式處理程序後,/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/ 目錄中會生成一個對應服務器SSL站點名的証書文件: 服務器名.p12 及一個 cacerts信任列表文件.
4. 復制/ymailserver/resin 到/ymailserver/resinssl
5. 刪除/ymailserver/resinssl/conf/resin.conf 命名/ymailserver/resinssl/conf/resinssl.conf 為 /ymailserver/resinssl/conf/resin.conf, 更改 /ymailserver/resinssl/conf/resin.conf中如下內容為 服務器名.p12
<http port='443'> <ssl>true</ssl> <key-store-type>pkcs12</key-store-type> <key-store-file>keys/localhost.p12</key-store-file> <key-store-password>test</key-store-password> <authenticate-client>true</authenticate-client> </http>
LINUX/UNIX系統下: 更改/ymailserver/resinssl/bin/httpd.sh JAVA_HOME=/var/ymailserver/jdk 改成 JAVA_HOME=/var/ymailserver/jdkssl RESIN_HOME=/var/ymailserver/resin 改成 RESIN_HOME=/var/ymailserver/resinssl
6. 復制/ymailserver/jdk 到/ymailserver/jdkssl 7. 復制/ymailserver/jdkssl/jre/jce.jar 到 /ymailserver/jdkssl/jre/lib/jce.jar 8. 更改/ymailserver/jdkssl/jre/lib/security/java.security 中 security.provider.1=sun.security.provider.Sun security.provider.2=net.yiii.security.provider.STD security.provider.3=net.yiii.security.keymanage.keystore.STD security.provider.4=net.yiii.security.x509.STD security.provider.5=com.sun.net.ssl.internal.ssl.Provider security.provider.6=com.sun.rsajca.Provider security.provider.7=com.sun.crypto.provider.SunJCE security.provider.8=sun.security.jgss.SunProvider 改成: security.provider.1=sun.security.provider.Sun #security.provider.2=net.yiii.security.provider.STD #security.provider.3=net.yiii.security.keymanage.keystore.STD #security.provider.4=net.yiii.security.x509.STD security.provider.2=com.sun.net.ssl.internal.ssl.Provider security.provider.3=com.sun.rsajca.Provider security.provider.4=com.sun.crypto.provider.SunJCE security.provider.5=sun.security.jgss.SunProvider
9. 建立目錄:/ymailserver/resinssl/keys, 復制/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/服務器名.p12 到/ymailserver/resinssl/keys, 覆蓋 /ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/cacerts到/ymailserver/jdkssl/jre/security/cacerts
10. 更改/ymailserver/resin/conf/resin.conf 中 <http port='80'/> 改成
<http port='80'/> <srun host='127.0.0.1' port='6802'/>
更改/ymailserver/resinssl/conf/resin.conf:
<http port='80' host='127.0.0.1'/> 改成: <!--<http port='80' host='127.0.0.1'/>-->
11. WINDOWS系統將resinssl安裝進入服務: /ymailserver/resinssl/bin/httpd -java_home "/ymailserver/jdkssl" -Xms64m -Xmx64m -install-as resinssl LINUX系統rc.local中加上 /var/ymailserver/resinssl/bin/httpd.sh start &
13. 更改缺省首頁/ymailserver/webmail/app/defaultbig5.jsp 確保上面有一下一行, 沒有就加上:
if(request.isSecure()){ response.sendRedirect("defaultsslbig5.jsp"); return; }
14. 重啟易郵服務
15. 簽發的用戶証書必須主題名要是用戶的郵件地址才能毫無更改就可以使用目前的此証書登陸功能, 否則服務器管理員必須自己更改 defaultsslbig5.jsp 從和簽發機構協商的証書格式中能獲得用戶的郵件地址, 或使用易郵的用戶登錄証書與用戶郵件地址映射配置功能來實現通過登錄証書獲取用戶登陸郵件地址.
注意WINDOWS系統中今後易郵其實是在WINDOWS的服務管理裡多了一個"resinssl"服務,一共四個服務: 1) Mysql 2) Resin Web Server 3) STD YMailserver email service 4) resinssl
這樣只有使用了USB KEY或在IE裡安裝了用戶電子証書的用戶才能訪問: https://服務器名, 安全站點.
|