|
Creazione e uso dei certificati SSL |
Scorri Precedente Primo livello Successivo Altro |
Se la creazione di certificati avviene mediante la finestra di dialogo SSL & TLS, MDaemon genera certificati autofirmati. In altre parole, l'autorità emittente o CA (Certificate Authority, autorità di certificazione) coincide con il proprietario del certificato. Questa impostazione è perfettamente valida e consentita, ma poiché la CA non sarà già presente negli elenchi delle CA affidabili degli utenti, ogni volta che si connetteranno all’URL HTTPS di Webmail o Remote Administration gli utenti riceveranno una richiesta di conferma prima di procedere al sito e/o installare il certificato. Dopo aver dato la conferma per l'installazione del certificato e aver accreditato il dominio di Webmail come CA valida, il messaggio dell'avviso di protezione non viene più visualizzato quando ci si connette a WorldClient o Remote Administration.
Quando si effettua una connessione a MDaemon attraverso un client di posta come Microsoft Outlook, non viene tuttavia offerta la possibilità di installare il certificato. È possibile scegliere se proseguire o meno nell'uso temporaneo del certificato, anche se non convalidato. Ogni volta che il client di posta viene avviato e si effettua una connessione al server, è necessario scegliere se continuare a utilizzare il certificato non convalidato. Per evitarlo è possibile ottenere un certificato da una CA, ad esempio Let's Encrypt oppure esportare il certificato autofirmato e distribuirlo agli utenti via e-mail o mediante altri mezzi. Gli utenti potranno quindi installare manualmente il certificato e accreditarlo per evitare eventuali messaggi di avviso.
Creazione di un certificato
Per creare un certificato da MDaemon, seguire le istruzioni descritte di seguito.
1.Passare alla finestra di dialogo SSL e TLS in MDaemon (fare clic su Sicurezza » Impostazioni di sicurezza » SSL e TLS » MDaemon).
2.Selezionare la casella, Abilita SSL, STARTTLS e STLS.
3.Fare clic su Crea certificato.
4.Nella casella di testo Nome host, inserire il dominio cui appartiene il certificato (ad esempio, "mail.esempio.com").
5.Nella casella di testo "Nome organizzazione/azienda", digitare il nome dell'organizzazione o dell'azienda cui appartiene il certificato.
6.In "Nomi host alternativi...", digitare tutti i nomi dei domini utilizzati dagli utenti per accedere al server (ad esempio, "*.esempio.com", "esempio.com", "wc.altn.com" e così via).
7.Scegliere la lunghezza della chiave crittografica dalla casella di riepilogo a discesa.
8.Scegliere il paese o la regione in cui si trova il server.
9.Fare clic su OK.
Uso di certificati emessi da un'altra autorità di certificazione
Se si è acquistato o creato un certificato con un'origine diversa da MDaemon, è possibile utilizzarlo importandolo tramite Microsoft Management Console nell'archivio certificati di MDaemon. A questo scopo, utilizzando Windows:
1.Aprite la Microsoft Management Console (digitate "mmc" nella casella di testo del menu Start di Windows e premete Invio).
2.Fare clic su File | Aggiungi/Rimuovi snap-in... nella barra dei menu (oppure premere Ctrl+M sulla tastiera).
3.Nel riquadro Snap-in disponibili, fare clic su Certificati e quindi su Aggiungi.
4.Nella finestra di dialogo Certificati, scegliere Account computer e fare clic su Avanti.
5.Nella finestra di dialogo Seleziona computer, scegliere Computer locale, quindi fare clic su Fine.
6.Fare clic su OK.
7.In Certificati (computer locale), se il certificato che si sta importando è autofirmato, fare clic su Autorità di certificazione radice attendibili e quindi su Certificati. Se non è autofirmato, fare clic su Personale.
8.Nel riquadro Azioni, fare clic su Altre azioni | Tutte le attività | Importa... e fare clic su Avanti.
9.Inserire il percorso del file del certificato che si desidera importare (se necessario, utilizzare il pulsante Sfoglia) e fare clic su Avanti.
10.Fare clic su Avanti e su Fine.
|
MDaemon consente di visualizzare solo certificati con chiavi private che utilizzano il formato Personal Information Exchange (PKCS #12). Se il certificato importato non viene visualizzato nell'elenco, è necessario importare un file con estensione PEM che contiene sia la chiave del certificato che la chiave privata. Eseguendo l'importazione del file PEM con lo stesso processo descritto in precedenza, il file viene convertito automaticamente nel formato PKCS #12. |
Utilizzo di Let's Encrypt per la gestione del certificato
Let's Encrypt è un'autorità di certificazione (CA) che fornisce certificati gratuiti mediante un processo automatizzato che si pone la finalità di eliminare i processi più complessi di creazione, convalida, firma, installazione e rinnovo manuali dei certificati per i siti Web sicuri.
Per supportare l'utilizzo del processo automatico di Let's Encrypt per la gestione di un certificato, è disponibile la schermata Let's Encrypt che consente di configurare ed eseguire facilmente lo script PowerShell incluso nella cartella "MDaemon\LetsEncrypt". L'esecuzione dello script imposterà ogni elemento per Let's Encrypt e posizionerà i file necessari nella cartella HTTP di Webmail per completare il test http-01. Viene utilizzato il nome host SMTP del dominio predefinito come dominio per il certificato, che comprende gli eventuali nomi host alternativi, poi recuperato e configurato in Windows, quindi viene configurato MDaemon in modo che il certificato sia valido per MDaemon, Webmail e Remote Administration. Quindi, lo script crea un file di registro nella cartella "MDaemon\Logs\", denominato LetsEncrypt.log. Questo file di registro viene rimosso e creato di nuovo ad ogni esecuzione dello script e contiene la data e l'ora di avvio dello script. Inoltre, in caso di errori e se si specifica una E-mail amministratore per notifiche, vengono inviati dei messaggi e-mail di notifica. Vedere l'argomento Let's Encrypt per ulteriori informazioni.
Vedere:
