1 制作HTTPS证书(更新到1.0.1211版本后可跳过此步骤)
2-2 为FireFox浏览器安装EasySQLMAIL根证书
前言
HTTPS是一种安全的HTTP协议,通过使用HTTPS能够使浏览器对传输的内容进行加密,可以防止传输内容被第三方截获,增强系统的安全性。EasySQLMAIL1.0.1208.6版本中增加了对HTTPS的支持。本文将向您介绍如何在EasySQLMAIL中启用HTTPS支持。
1 制作HTTPS证书(更新到1.0.1211版本后可跳过此步骤)
(1)解压证书制作工具:将下载证书制作工具openssl.zip(点击这里下载证书制作工具OpenSSL)解压到EasySQLMAIL中,解压后的目录结构(EasySQLMAIL\openssl)如下图:
解压后的目录结构
(2)生成证书文件:运行EasySQLMAIL\openssl中的build.bat,程序将会进行证书制作。制作好的证书存放在EasySQLMAIL\openssl\cert目录中,证书的保护密码在文件cert-pwd.txt中可以查询到。
其中的目录内容如下:
01-ROOT 根证书的私钥和公钥
02-WEBCONSOLE_SERVER EasySQLMAIL的WEB控制台HTTP服务需要用到的证书。在证书制作完成后,需要将此目录下的文件复制到EasySQLMAIL\conf\cert中。
03-WEBCONSOLE_CLIENT EasySQLMAIL的WEB控制台客户端需要用到的证书。
注意: EasySQLMAIL\openssl\cert中保存了您的证书的私钥,请妥善保管这些文件,不要丢失或泄露。
(3)部署服务器证书:将EasySQLMAIL\openssl\cert\02-WEBCONSOLE_SERVER中的文件复制到EasySQLMAIL\conf\cert目录下。如果EasySQLMAIL\conf下没有cert目录,则手动创建一个。复制后的目录结构如下图:
EasySQLMAIL\conf\cert的目录结构
2-1 为IE、Chrome等非FireFox浏览器安装根证书
为了让客户端浏览器能够识别EasySQLMAIL证书,需要将EasySQLMAIL的根证书安装到客户端电脑中。安装过程如下:
(1)复制证书文件到客户端电脑:将EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT中的文件ca.easysqlmail.pfx复制到客户端。
(2)在客户机上安装根证书:在客户端电脑上双击证书文件ca.easysqlmail.pfx,打开Windows证书安装向导,并点击“下一步”,在向导的第三步中输入证书的保护密码并点击“下一步”。保护密码可以在EasySQLMAL\openssl\cert\cert-pwd.txt中查询到。
输入根证书保护密码
(3)选择证书存储区域为“受信任的根证书颁发机构”:在“证书存储”中点击“浏览”按钮,并选择“受信任的根证书颁发机构”,然后点击“确定”。该操作将会把EasySQLMAIL的根证书存储到“受信任的根证书颁发机构”区域中,后续使用时浏览器将不会出现证书安全警告。选择好后点击“下一步”。
选择证书的存储区域
(4)根证书完装完成。点击"下一步"后,根证书即完装完成。
2-2 为FireFox浏览器安装EasySQLMAIL根证书
(1)将crt证书复制到客户端:将EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT中的文件ca.easysqlmail.crt复制到客户端。
(2)在FireFox中打开证书管理器:在客户端电脑上打开FireFox浏览器,并进入FireFox的设置界面,找到并点击“证书管理”设置项。打开FireFox后,点击FireFox菜单中的“选项”。
打开FireFox后,点击菜单中的“选项”
在“选项”页面的搜索框中输入“证书”,并点击“查看证书”按钮
(3)导入根证书到FireFox中:在“证书管理器”中,切换到“证书颁发机构”TAB页,并点击“导入”按钮,选择从服务器复制过来的证书文件ca.easysqlmail.crt。
导入根证书文件
选中“信任由此证书颁发机构来标识网站”,然后点击确定按钮
上述步骤完成后,FireFox就能够识别EasySQLMAIL的WEB控制台了。
启用HTTPS支持后,客户端如需要用域名来访问EasySQLMAIL的WEB控制台,可以对客户端的HOSTS文件进行修改(该文件位于c:\windows\system32\drivers\etc\hosts),在其中加入一行:
<您的EasySQLMAIL服务器的IP地址> console.easysqlmail
例如:
在HOSTS文件修中增加域名解析
如果您有自己的DNS服务器,也可以在您的DNS服务器上加入一条域名console.easysqlmail的解析。
注意:此步骤需要在EasySQLMAIL所在的机器上通过127.0.0.1进入EasySQLMAIL的WEB控制台后执行。
进入EasySQLMAIL的WEB控制台后,点击右上方工具条中的“系统配置”按钮打开“系统设置”对话框并进入“IP安全设置”TAB页,勾选“使用安全HTTP协议(HTTPS)连接WEB管理界面”选项:
启用“使用安全HTTP协议(HTTPS)连接WEB管理界面”选项
勾选后点击确定按钮,系统会提示重启EasySQLMAIL的WEB服务。WEB服务重启完成后,可以在浏览器通过https://服务器IP地址:9443或https://console.easysqlmail:9443访问EasySQLMAIL的WEB控制台。
前面的内容中,我们启用了EasySQLMAIL的HTTPS支持。这时的HTTPS认证是单向的,即只需要服务器向客户端证明自己的身份,任意客户端都可以访问EasySQLMAIL。有时我们需要更为严格的认证,不仅服务器要向客户端证明身份,客户端也需要向服务器证明自己有权限访问EasySQLMAIL。这时就需要启用EasySQLMAIL的IP安全中的“需要验证客户端证书”选项。
注意:此步骤需要在EasySQLMAIL所在的机器上通过127.0.0.1进入EasySQLMAIL的WEB控制台后执行。
启用“需要验证客户端证书”选项
在启用此选项后,客户端除了安装根证书外,还必须安装客户端证书(EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT\client.console.easysqlmail.pfx)。只有安装了这个证书的电脑才能访问EasySQLMAIL的WEB控制台。具体安装方法如下:
(1)IE、Chrome等非FireFox浏览器:
在客户端电脑上双击证书文件client.console.easysqlmail.pfx,打开证书安装向导,并点击“下一步”。向导中会要求输入证书保护密码,此密码可以在EasySQLMAIL\openssl\cert\cert-pwd.txt中查询到。另外在选择证书的安装位置时,选择“个人”:
选择证书的存储位置为“个人”
(2)FireFox浏览器:
进入FireFox的证书管理器后,打开“您的证书”TAB页,然后点击“导入”按钮,并选择证书文件client.console.easysqlmail.pfx。导入证书会要求输入证书保护密码,此密码可以在EasySQLMAIL\openssl\cert\cert-pwd.txt中查询到。
在FireFox上导入客户端证书
(1)启用EasySQLMAIL的HTTPS支持后,从其它机器访问EasySQLMAIL的WEB控制台时,将强制使用HTTPS协议。也即在其它机器上访问EasySQLMAIL控制台的普通HTTP端口(例如http://192.1699.5.13:9110)时,系统会将访问转向到HTTPS端口。
(2)在启用HTTPS支持后如果发现无法访问WEB控制台,可以在EasySQLMAIL服务器上通过http://127.0.0.1:9110进入控制台取消HTTPS支持,然后查找无法访问HTTPS的原因。
(3)证书制作完成后,EasySQLMAIL\openssl\cert中存储了EasySQLMAIL证书的私钥等重要信息,请妥善保管这些文件以防止泄密。在后续制作其它证书时,可能需要用到这些证书文件。
(4)此方法生成的证书为“自签署证书”,在使用证书时某些安全软件可能会有安全提示。