在EasySQLMAIL中启用HTTPS支持

在EasySQLMAIL中启用HTTPS支持

1 制作HTTPS证书

2 在客户端安装HTTPS证书并修改HOSTS设置

2-1 为IE、Chrome等非FireFox安装根证书

2-2 为FireFox浏览器安装EasySQLMAIL根证书

2-3 修改客户端的HOSTS设置

3 在EasySQLMAIL中启用HTTPS支持

4 启用双向认证HTTPS

5 注意事项

前言

HTTPS是一种安全的HTTP协议,通过使用HTTPS能够使浏览器对传输的内容进行加密,可以防止传输内容被第三方截获,增强系统的安全性。EasySQLMAIL1.0.1208.6版本中增加了对HTTPS的支持。本文将向您介绍如何在EasySQLMAIL中启用HTTPS支持。在开始配置前,请先点击这里下载证书制作工具OpenSSL

1 制作HTTPS证书

(1)解压证书制作工具:将下载证书制作工具openssl.zip解压到EasySQLMAIL中,解压后的目录结构(EasySQLMAIL\openssl)如下图:

解压后的目录结构

(2)生成证书文件:运行EasySQLMAIL\openssl中的build.bat,程序将会进行证书制作。制作好的证书存放在EasySQLMAIL\openssl\cert目录中,证书的保护密码在文件cert-pwd.txt中可以查询到。

其中的目录内容如下:

01-ROOT        根证书的私和公钥

02-WEBCONSOLE_SERVER    EasySQLMAIL的WEB控制台HTTP服务需要用到的证书。在证书制作完成后,需要将此目录下的文件复制到EasySQLMAIL\conf\cert中。

03-WEBCONSOLE_CLIENT    EasySQLMAIL的WEB控制台客户端需要用到的证书。

注意: EasySQLMAIL\openssl\cert中保存了您的证书的私钥,请妥善保管这些文件,不要丢失或泄露。

(3)部署服务器证书:将EasySQLMAIL\openssl\cert\02-WEBCONSOLE_SERVER中的文件复制到EasySQLMAIL\conf\cert目录下。如果EasySQLMAIL\conf下没有cert目录,则手动创建一个。复制后的目录结构如下图:

EasySQLMAIL\conf\cert的目录结构

2 安装客户端HTTPS证书

2-1 为IE、Chrome等非FireFox浏览器安装根证书

为了让客户端浏览器能够识别EasySQLMAIL证书,需要将EasySQLMAIL的根证书安装到客户端电脑中。安装过程如下:

(1)复制证书文件到客户端电脑:将EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT中的文件ca.easysqlmail.pfx复制到客户端。

(2)在客户机上安装根证书:在客户端电脑上双击证书文件ca.easysqlmail.pfx,打开Windows证书安装向导,并点击“下一步”,在向导的第三步中输入证书的保护密码并点击“下一步”。保护密码可以在EasySQLMAL\openssl\cert\cert-pwd.txt中查询到。

输入根证书保护密码

(3)选择证书存储区域为“受信任的根证书颁发机构”:在“证书存储”中点击“浏览”按钮,并选择“受信任的根证书颁发机构”,然后点击“确定”。该操作将会把EasySQLMAIL的根证书存储到“受信任的根证书颁发机构”区域中,后续使用时浏览器将不会出现证书安全警告。选择好后点击“下一步”。

选择证书的存储区域

(4)根证书完装完成。点击"下一步"后,根证书即完装完成。

2-2 为FireFox浏览器安装EasySQLMAIL根证书

(1)将crt证书复制到客户端:将EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT中的文件ca.easysqlmail.crt复制到客户端。

(2)在FireFox中打开证书管理器:在客户端电脑上打开FireFox浏览器,并进入FireFox的设置界面,找到并点击“证书管理”设置项。打开FireFox后,点击FireFox菜单中的“选项”。

打开FireFox后,点击菜单中的“选项”

在“选项”页面的搜索框中输入“证书”,并点击“查看证书”按钮

(3)导入根证书到FireFox中:在“证书管理器”中,切换到“证书颁发机构”TAB页,并点击“导入”按钮,选择从服务器复制过来的证书文件ca.easysqlmail.crt。

导入根证书文件

选中“信任由此证书颁发机构来标识网站”,然后点击确定按钮

上述步骤完成后,FireFox就能够识别EasySQLMAIL的WEB控制台了。

2-3 修改客户端的HOSTS设置

启用HTTPS支持后,客户端需要用域名来访问EasySQLMAIL的WEB控制台,因此需要对客户端的HOSTS文件进行修改(该文件位于c:\windows\system32\drivers\etc\hosts),在其中加入一行:

<您的EasySQLMAIL服务器的IP地址>  console.easysqlmail

例如:

在HOSTS文件修中增加域名解析

 

3 在EasySQLMAIL中启用HTTPS支持

注意:此步骤需要在EasySQLMAIL所在的机器上通过127.0.0.1进入EasySQLMAIL的WEB控制台后执行。

进入EasySQLMAIL的WEB控制台后,点击右上方工具条中的“系统配置”按钮打开“系统设置”对话框并进入“IP安全设置”TAB页,勾选“使用安全HTTP协议(HTTPS)连接WEB管理界面”选项:

启用“使用安全HTTP协议(HTTPS)连接WEB管理界面”选项

勾选后点击确定按钮,系统会提示重启EasySQLMAIL的WEB服务。WEB服务重启完成后,可以在浏览器通过https://console.easysqlmail:9443访问EasySQLMAIL的WEB控制台。

4 启用双向认证HTTPS

前面的内容中,我们启用了EasySQLMAIL的HTTPS支持。这时的HTTPS认证是单向的,即只需要服务器向客户端证明自己的身份,任意客户端都可以访问EasySQLMAIL。有时我们需要更为严格的认证,不仅服务器要向客户端证明身份,客户端也需要向服务器证明自己有权限访问EasySQLMAIL。这时就需要启用EasySQLMAIL的IP安全中的“需要验证客户端证书”选项。

注意:此步骤需要在EasySQLMAIL所在的机器上通过127.0.0.1进入EasySQLMAIL的WEB控制台后执行。

启用“需要验证客户端证书”选项

在启用此选项后,客户端除了安装根证书外,还必须安装客户端证书(EasySQLMAIL\openssl\cert\03-WEBCONSOLE_CLIENT\client.console.easysqlmail.pfx)。只有安装了这个证书的电脑才能访问EasySQLMAIL的WEB控制台。具体安装方法如下:

(1)IE、Chrome等非FireFox浏览器:

在客户端电脑上双击证书文件client.console.easysqlmail.pfx,打开证书安装向导,并点击“下一步”。向导中会要求输入证书保护密码,此密码可以在EasySQLMAIL\openssl\cert\cert-pwd.txt中查询到。另外在选择证书的安装位置时,选择“个人”:

选择证书的存储位置为“个人”

(2)FireFox浏览器:

进入FireFox的证书管理器后,打开“您的证书”TAB页,然后点击“导入”按钮,并选择证书文件client.console.easysqlmail.pfx。导入证书会要求输入证书保护密码,此密码可以在EasySQLMAIL\openssl\cert\cert-pwd.txt中查询到。

在FireFox上导入客户端证书

 

5 注意事项

(1)启用EasySQLMAIL的HTTPS支持后,从其它机器访问EasySQLMAIL的WEB控制台时,将强制使用HTTPS协议。也即在其它机器上访问EasySQLMAIL控制台的普通HTTP端口(例如http://192.1699.5.13:9110)时,系统会将访问转向到HTTPS端口。

(2)在启用HTTPS支持后如果发现无法访问WEB控制台,可以在EasySQLMAIL服务器上通过http://127.0.0.1:9110进入控制台取消HTTPS支持,然后查找无法访问HTTPS的原因。

(3)证书制作完成后,EasySQLMAIL\openssl\cert中存储了EasySQLMAIL证书的私钥等重要信息,请妥善保管这些文件以防止泄密。在后续制作其它证书时,可能需要用到这些证书文件。

(4)此方法生成的证书为“自签署证书”,在使用证书时某些安全软件可能会有安全提示。

文档最后更新时间:2019-08-02