SSL与TLS功能启用以及证书建立
快速分类速查 了解SSL&TLS证书 无效SSL证书范例 建置“有效”SSL证书
A. SSL协议与TLS是什么?它们的功能是什么?
答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLS是SSL的下一代协议。透过它我们可以:
1. 在互联网上传输加密过的资料以达到资安的目的。
2. 保持从端点A到端点B的传送路途中资料的完整性。
3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明自己的身份。
B. SSL证书是什么?它的功能是什么?
答:SSL证书 (Certificate) 像身分证一般可以在互联网上证明自己的身份。在资料的加密传输开始之前,服务器透过“有效”的SSL证书告诉用户端自己是值得信赖的服务器。。
C. 如何取得SSL证书?
答:本可产生SSL证书,但是此时的证书尚属“无效”的证书。何谓“无效”?何谓“有效”?请往下看。
D. 何谓“有效”的SSL证书?
答:SSL证书分为“有效”的证书和“无效”的证书。其中的分别在于“有效”的证书是经过具有公信力的证书签署单位(Certificate Authority)信任签署过的。CA在签发之前会对申请人做身份的核对以预防网络诈骗。
E. “无效”的SSL安全性证书会产生证书错误的问题吗?
答:“无效”的证书因“缺乏CA的身份核对”或是“服务器的域名和证书上的CN不符合时”在身份证明上是没有效应的,会产生证书错误连接出错的问题,比如证书错误 浏览已封锁或证书过期。若使用“无效”的SSL证书,用户端与连线时会出现类似下列令使用者不胜其扰的警告讯息:
Outlook 2010 证书链终止警告范例:
Windows Live Mail 2011 证书主机名称(CN)不正确范例:
Thunderbird 证书身份未知警告范例:
Apple iOS 证书身份无法验证警告范例:
F. 哪些SSL证书签署单位可以帮我签发“有效”的SSL证书信任签署?
答:签署单位范例:
SSL证书签署商列表 / 价格为一年合约费用(超过后会产生证书过期的问题) 国外签署商 Comodo PositiveSSL Certificate 价格不便列出 RapidSSL RapidSSL Certificates 价格不便列出
总结上面的问与答:拥有“有效”SSL证书的服务器值得信任,和这类服务器做SSL加密连线在信件内容资安上才有保障。在此强烈建议MIS 们申请“有效”的SSL证书才能让用户安心使用本做讯息交换,如同网络银行网页使用SSL加密协议保障客户的重要金融资料。
G. 请按照下面的步骤建置“有效”的SSL证书:
1. 在的内建证书金钥产生工具建立新的SSL证书 -
点选画面中“建立新的”开启“SSL证书及私密金钥产生工具”
在“SSL证书及私密金钥产生工具”填妥贵公司信息点选“建立证书以及私密金钥”建立新SSL证书。
2. 以新产生的SSL证书向CA申请SSL证书的信任签署 -
在“SSL(TLS)证书以及私密金钥设定”项目中,点取“显示CSR”的按钮可检视CSR档,我们要使用其档案内容向CA做证书信任签署申请。请参考下列CA证书签署示范教学:RapidSSL Comodo
(为何选这个国外服务商呢?因为价格便宜,其它种类各有其优缺点请自行比较)3. 汇入CA信任签署过的SSL证书 -
承“步骤二”的签署申请以后,我们下载回来的SSL证书档案已经生效,请妥善保存。然后回到“SSL(TLS)证书以及私密金钥设定”的项目中:
Ⅰ. 在“网域金钥及证书”的下拉选单中选取相关网域。
Ⅱ. 输入“私密金钥存取密码”。
Ⅲ. 点选在“SSL证书(X.509)”右手边的“汇入”并浏览至“SSL证书”档案所在的子目录点选对应的crt档。
Ⅳ. 点选在“SSL证书链(X.509)”。 右手边的“汇入”并浏览至“SSL证书链”档案所在的子目录点选对应的crt档。
3. 检查SSL证书是否顺利置入 -
请查看下图“服务器金钥及SSL证书”的检查结果为“已载入,CN值 xyz.com.tw 与主要网域(或MX主机)吻合。”。表示已经载入成功。
H. 什么是TLS SNI (Server Name Indication)?
答:TLS SNI是一种TLS通讯协议的扩充,它藉由将服务器名称做为交涉的一部分来达到TLS主机虚拟化的目的,或可以说,只需一个IP地址,就可架设多组提供SSL邮件服务的服务器,并且能够套用各自的服务器证书,这是不支援TLS SNI扩充的所没有办法做到的境界。目前,Outlook 2007, 2010, iOS Mail, Apple Mail, Thunderbird, Opera 皆支援 TLS SNI 的功能,但是请不要忘了将这些邮件软件更新至最新版本。