Enterprise Vault™ 设置 SMTP 归档
获取 SSL/TLS 证书
SMTP 连接安全支持以下类型的证书:
由受信任的第三方或证书颁发机构 (CA) 签名的商业证书
Windows PKI 生成的证书 (Microsoft Certificate Services)
专用(自签名)证书
主体备用名称 (SAN) 证书
通配符证书
可以使用任何合适的工具从认可的证书颁发机构 (CA) 申请证书。例如,您可以使用 Enterprise Vault 安装文件夹中安装的 OpenSSL。
确保请求的证书包含客户端建立根 CA 信任链所需的全部中间证书。
服务器的证书和私钥必须位于 PFX 或 PKCS#12 文件中。应当使用密码对此文件进行加密。
获取 SSL/TLS 证书
- 如果站点中仅有一个 SMTP 服务器,请转至步骤 6。
- 创建
openssl.cnf(位于 Enterprise Vault 安装文件夹中)的备份副本,例如,C:\Program Files (x86)\Enterprise Vault。 - 打开
openssl.cnf进行编辑。 - 通过删除行开头的 # 取消注释
openssl.cnf中的以下行:# req_extensions = v3_req # The extensions to add to a certificate request
- 如下例所示,向
openssl.cnf的 [ v3_req ] 部分添加行。指定站点中的所有 SMTP 服务器:[ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = evserver1.example.local DNS.2 = evserver2.example.local DNS.3 = evserver3.example.local DNS.4 = evserver4.example.local - 使用以下 OpenSSL 语法创建证书请求和密钥:
openssl req -config openssl.cnf -new -nodes -keyout server.key -out server.csr
其中,server .key 是包含证书密钥的文件的名称,server.csr 是包含证书签名请求 (CSR) 的文件的名称。
系统会提示您输入组织信息。要将可选字段留空,请输入句号。其中的字段如下:
“国家/地区名称”是您的组织所在的国家/地区。
“州或省名称”是您的组织所在的省/直辖市/自治区。可选。
“地区名称”是您的组织所在的城镇或城市。可选。
“组织名称”是您的组织的名称。
“组织单位名称”是您的组织中的申请部门。可选。
“通用名称”是 MTA 要与其建立 SMTP 连接的 Enterprise Vault 服务器别名的完全限定域名。
“电子邮件地址”是您的电子邮件地址。可选。
“质询密码”是将与证书请求一起发送的其他属性。可选
“可选公司名称”是公司的名称。可选。
生成两个文件。您应将 CSR 文件发送至 CA 并保留密钥文件。
- 接下来使用私钥对 CSR 签名。
如果站点中仅有一个 SMTP 服务器,请使用以下命令对 CSR 签名:
openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
如果站点中存在多个 SMTP 服务器,请使用以下命令对 CSR 签名:
openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365 -extensions v3_req -extfile openssl.cnf
此时该文件夹应包含名为
server 的文件。pem是服务器的证书。 - 使用以下命令将证书和密钥导出到 PKCS#12 (.p12) 文件,然后加密文件:
openssl pkcs12 -export -in server.pem -inkey server.key -out server.p12 -descert
提示时,请输入密码以保护文件。