配置易邮安全站点, 使用USB KEY,电子证书登录使用.

    

本帮助可创建易邮SSL的安全连接站点.

应用在USB KEY等电子证书方式登录使用易邮电子邮件系统.

进入系统后台的 "邮件处理器" - "生成使用证书登陆的服务器证书" 查看证书申请方式, 并进行以下配置步骤:

1. 如果是第三方CA机构签发的服务器证书,并且不是采用第二种证书申请方式而是直接获得服务器.p12,pfx密匙,请把服务器证书命名为resin.p12, 并让CA机构设置保护密码为test,放在
/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/key/resin.p12
将CA机构所有的CA证书链中所有的CA证书放到/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/trusted
进入系统后台的"邮件处理器" "生成使用证书登陆的服务器证书" 第一种方式处理程序, 此程序判断resin.p12是否存在,
如果存在就用第三方签发的服务器证书配置SSL, 如果不存在就使用系统原有的/ymailserver/apps/ymailserver/var/mail/inboxes/smime/STDSmimeCa.p12签发

2. 也可按第二种证书申请方式获得服务器证书.

3. 运行第一种方式或第二种方式处理程序后,/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/
目录中会生成一个对应服务器SSL站点名的证书文件: 服务器名.p12 及一个 cacerts信任列表文件.

4. 复制/ymailserver/resin 到/ymailserver/resinssl

5. 删除/ymailserver/resinssl/conf/resin.conf 命名/ymailserver/resinssl/conf/resinssl.conf 为
/ymailserver/resinssl/conf/resin.conf, 更改 /ymailserver/resinssl/conf/resin.conf中如下内容为 服务器名.p12


    <http port='443'>
      <ssl>true</ssl>
      <key-store-type>pkcs12</key-store-type>
     <key-store-file>keys/localhost.p12</key-store-file>
      <key-store-password>test</key-store-password>
      <authenticate-client>true</authenticate-client>
    </http>

LINUX/UNIX系统下:
更改/ymailserver/resinssl/bin/httpd.sh
 JAVA_HOME=/var/ymailserver/jdk
改成  JAVA_HOME=/var/ymailserver/jdkssl
 RESIN_HOME=/var/ymailserver/resin
改成
 RESIN_HOME=/var/ymailserver/resinssl

6. 复制/ymailserver/jdk 到/ymailserver/jdkssl
7. 复制/ymailserver/jdkssl/jre/jce.jar 到 /ymailserver/jdkssl/jre/lib/jce.jar
8. 更改/ymailserver/jdkssl/jre/lib/security/java.security 中
security.provider.1=sun.security.provider.Sun
security.provider.2=net.yiii.security.provider.STD
security.provider.3=net.yiii.security.keymanage.keystore.STD
security.provider.4=net.yiii.security.x509.STD
security.provider.5=com.sun.net.ssl.internal.ssl.Provider
security.provider.6=com.sun.rsajca.Provider
security.provider.7=com.sun.crypto.provider.SunJCE
security.provider.8=sun.security.jgss.SunProvider
改成:
security.provider.1=sun.security.provider.Sun
#security.provider.2=net.yiii.security.provider.STD
#security.provider.3=net.yiii.security.keymanage.keystore.STD
#security.provider.4=net.yiii.security.x509.STD
security.provider.2=com.sun.net.ssl.internal.ssl.Provider
security.provider.3=com.sun.rsajca.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider

9. 建立目录:/ymailserver/resinssl/keys,
复制/ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/服务器名.p12 到/ymailserver/resinssl/keys,
覆盖 /ymailserver/apps/ymailserver/var/mail/inboxes/smime/resin/cacerts到/ymailserver/jdkssl/jre/security/cacerts

10. 更改/ymailserver/resin/conf/resin.conf

<http port='80'/>
改成

<http port='80'/>
<srun host='127.0.0.1' port='6802'/>

更改/ymailserver/resinssl/conf/resin.conf:

<http port='80'  host='127.0.0.1'/>
改成:
<!--<http port='80'  host='127.0.0.1'/>-->

11. WINDOWS系统将resinssl安装进入服务: /ymailserver/resinssl/bin/httpd -java_home "/ymailserver/jdkssl" -Xms64m -Xmx64m -install-as resinssl
LINUX系统rc.local中加上 /var/ymailserver/resinssl/bin/httpd.sh start &

13. 更改缺省首页/ymailserver/webmail/app/default.jsp 确保上面有一下一行, 没有就加上:

if(request.isSecure()){
        response.sendRedirect("defaultssl.jsp");
        return;
}


14. 重启易邮服务

15. 签发的用户证书必须主题名要是用户的邮件地址才能毫无更改就可以使用目前的此证书登陆功能,
否则服务器管理员必须自己更改 defaultssl.jsp 从和签发机构协商的证书格式中能获得用户的邮件地址,
或使用易邮的用户登录证书与用户邮件地址映射配置功能来实现通过登录证书获取用户登陆邮件地址.

注意WINDOWS系统中今后易邮其实是在WINDOWS的服务管理里多了一个"resinssl"服务,一共四个服务:
1) Mysql 2) Resin Web Server 3) STD YMailserver email service 4) resinssl

这样只有使用了USB KEY或在IE里安装了用户电子证书的用户才能访问:
https://服务器名, 安全站点.

[访问 4295 人次] [评论]