| 上一篇文章 :: 下一篇文章 |
| 發表人 |
內容 |
hihi123
一級
註冊時間: 2005-04-26
文章: 16
來自: 中華民國
|
 發表於: 星期二 四月 26, 2005 8:41 pm 文章標題: |
 |
|
看了這一偏
大勝讀10年書
謝謝 |
|
| 回頂端 |
|
 |
蛋頭
小霸王
註冊時間: 2005-04-20
文章: 258
來自: 中華民國
|
| 發表於: 星期五 六月 24, 2005 10:49 am 文章標題: |
|
|
| Arnor 寫到: | 經過兩天奮戰
終於整理好SSL 產生憑證部份的方法了.
請下載
http://www.avis.idv.tw/raiden/images/MaildSSLPackage.zip
照bat 檔的順序執行就可以了, 最後把 \Output 的檔案拷到Maild \SSL 目錄就好了.
那個 CN 名稱不符合的問題,
似乎在產生要求 (4MakeServerReq.bat) 時, 用你 Server 的 IP Address
來填入 CN 這個欄位就可以了..
還有使用者一定要下載匯入 caroot.cer 才能算是信任你的憑證.
用用看吧, 有問題請回報, 到時再研究囉...
PS: 產生過程中遇到要輸入密碼都是給它 1234 就可以了. |
請教素大,
我依照您的說明, 產生了POP3 SSL 憑證, 目前 Client 端與 RMAILD Server
運作都正常, 但是, 我發現在產生POP3 SSL 憑證時, 其有效期限只有1年,
那1年過後,還要重新產生嗎?  |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期五 六月 24, 2005 11:04 am 文章標題: |
|
|
| 蛋頭 寫到: | | Arnor 寫到: | 經過兩天奮戰
終於整理好SSL 產生憑證部份的方法了.
請下載
http://www.avis.idv.tw/raiden/images/MaildSSLPackage.zip
照bat 檔的順序執行就可以了, 最後把 \Output 的檔案拷到Maild \SSL 目錄就好了.
那個 CN 名稱不符合的問題,
似乎在產生要求 (4MakeServerReq.bat) 時, 用你 Server 的 IP Address
來填入 CN 這個欄位就可以了..
還有使用者一定要下載匯入 caroot.cer 才能算是信任你的憑證.
用用看吧, 有問題請回報, 到時再研究囉...
PS: 產生過程中遇到要輸入密碼都是給它 1234 就可以了. |
請教素大,
我依照您的說明, 產生了POP3 SSL 憑證, 目前 Client 端與 RMAILD Server
運作都正常, 但是, 我發現在產生POP3 SSL 憑證時, 其有效期限只有1年,
那1年過後,還要重新產生嗎? |
是的, 目前預設bat 檔裡頭下得指令是這樣子的.
指令改變一下就可以.
編輯 2MakeCaRootCert.bat 改成這樣
openssl req -config openssl.cnf -new -x509 -days 3650 -key ca.key -out ca.crt
編輯 5SignServerCert.bat 改成這樣
openssl ca -config openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt
這樣做出來的就可以用到 2015 年. 
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
蛋頭
小霸王
註冊時間: 2005-04-20
文章: 258
來自: 中華民國
|
| 發表於: 星期五 六月 24, 2005 4:20 pm 文章標題: |
|
|
| Arnor 寫到: | | 蛋頭 寫到: | | Arnor 寫到: | 經過兩天奮戰
終於整理好SSL 產生憑證部份的方法了.
請下載
http://www.avis.idv.tw/raiden/images/MaildSSLPackage.zip
照bat 檔的順序執行就可以了, 最後把 \Output 的檔案拷到Maild \SSL 目錄就好了.
那個 CN 名稱不符合的問題,
似乎在產生要求 (4MakeServerReq.bat) 時, 用你 Server 的 IP Address
來填入 CN 這個欄位就可以了..
還有使用者一定要下載匯入 caroot.cer 才能算是信任你的憑證.
用用看吧, 有問題請回報, 到時再研究囉...
PS: 產生過程中遇到要輸入密碼都是給它 1234 就可以了. |
請教素大,
我依照您的說明, 產生了POP3 SSL 憑證, 目前 Client 端與 RMAILD Server
運作都正常, 但是, 我發現在產生POP3 SSL 憑證時, 其有效期限只有1年,
那1年過後,還要重新產生嗎? |
是的, 目前預設bat 檔裡頭下得指令是這樣子的.
指令改變一下就可以.
編輯 2MakeCaRootCert.bat 改成這樣
openssl req -config openssl.cnf -new -x509 -days 3650 -key ca.key -out ca.crt
編輯 5SignServerCert.bat 改成這樣
openssl ca -config openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt
這樣做出來的就可以用到 2015 年. |
感恩!
我剛才又試了另一個問題, CN 問題, 我依照素大的說明, 輸入我 RMAILD的IP,
然後在Client端的Outlook 2000 做設定,
1. 如果在 [伺服器]頁面之[內送郵件-POP3]輸入 IP, 收信沒有問題.
2. 如果在 [伺服器]頁面之[內送郵件-POP3]輸入 mail server的 FQDN, 卻
出現 [憑證的CN名稱不符].
請教素大, 有沒有辦法, 讓Client端的郵件軟體於[伺服器]頁面之[內送郵件-POP3]輸入 IP or mail server的 FQDN 都可以使用 POP3 SSL?  |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期六 六月 25, 2005 12:56 am 文章標題: |
|
|
| 蛋頭 寫到: | | Arnor 寫到: | | 蛋頭 寫到: | | Arnor 寫到: | 經過兩天奮戰
終於整理好SSL 產生憑證部份的方法了.
請下載
http://www.avis.idv.tw/raiden/images/MaildSSLPackage.zip
照bat 檔的順序執行就可以了, 最後把 \Output 的檔案拷到Maild \SSL 目錄就好了.
那個 CN 名稱不符合的問題,
似乎在產生要求 (4MakeServerReq.bat) 時, 用你 Server 的 IP Address
來填入 CN 這個欄位就可以了..
還有使用者一定要下載匯入 caroot.cer 才能算是信任你的憑證.
用用看吧, 有問題請回報, 到時再研究囉...
PS: 產生過程中遇到要輸入密碼都是給它 1234 就可以了. |
請教素大,
我依照您的說明, 產生了POP3 SSL 憑證, 目前 Client 端與 RMAILD Server
運作都正常, 但是, 我發現在產生POP3 SSL 憑證時, 其有效期限只有1年,
那1年過後,還要重新產生嗎? |
是的, 目前預設bat 檔裡頭下得指令是這樣子的.
指令改變一下就可以.
編輯 2MakeCaRootCert.bat 改成這樣
openssl req -config openssl.cnf -new -x509 -days 3650 -key ca.key -out ca.crt
編輯 5SignServerCert.bat 改成這樣
openssl ca -config openssl.cnf -days 3650 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt
這樣做出來的就可以用到 2015 年. |
感恩!
我剛才又試了另一個問題, CN 問題, 我依照素大的說明, 輸入我 RMAILD的IP,
然後在Client端的Outlook 2000 做設定,
1. 如果在 [伺服器]頁面之[內送郵件-POP3]輸入 IP, 收信沒有問題.
2. 如果在 [伺服器]頁面之[內送郵件-POP3]輸入 mail server的 FQDN, 卻
出現 [憑證的CN名稱不符].
請教素大, 有沒有辦法, 讓Client端的郵件軟體於[伺服器]頁面之[內送郵件-POP3]輸入 IP or mail server的 FQDN 都可以使用 POP3 SSL? |
恐怕無法這樣兩樣都吃.
以網站SSL為例:
SITE SSL 的用意就是要證明這是該 http://xxx.xx.xxx 的站,
不是別的阿貓阿狗站, 所以 CN 用的是網址, 才能證明其身份,
你用 IP 還是可以連到該站沒錯, 但是以 SSL 來看, Browser 只是要警告你
你目前所用的連線方式(用IP) 跟該站用來證明身份的CN 不一樣.
就要看你使用者接不接受了.
所以, 換看POP SSL 時, 也是一樣的道理. SITE 憑證只能宣稱一個網路身份,
你的mail client 怎樣去連到它, 方法卻可能有很多種.
當mail client 透過你設定所連到的地方, 和對方所提交的身份證明資料不相同時,
它有義務跟你提醒一下, 這並不一定是錯誤發生, 接下來還是看你接不接受了.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
凡人
五段
註冊時間: 2002-01-29
文章: 104
來自: Hong Kong
|
| 發表於: 星期六 七月 16, 2005 5:07 am 文章標題: |
|
|
請問本人根據上述設定, 啟用ssl後出現以下訊息是否設定錯誤?
您目前連線的伺服器使用的安全性憑證無法憑證.
憑證鏈已處理, 但憑證鏈在根憑證時被終止,因為憑證不受信任.
您要繼續使用這台伺服器?
如果我選擇繼續使用, 一樣可收到郵件.
請問是否設定錯誤.
有勞閣位高人指點, 謝謝. |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期六 七月 16, 2005 6:12 pm 文章標題: |
|
|
| 凡人 寫到: | 請問本人根據上述設定, 啟用ssl後出現以下訊息是否設定錯誤?
您目前連線的伺服器使用的安全性憑證無法憑證.
憑證鏈已處理, 但憑證鏈在根憑證時被終止,因為憑證不受信任.
您要繼續使用這台伺服器?
如果我選擇繼續使用, 一樣可收到郵件.
請問是否設定錯誤.
有勞閣位高人指點, 謝謝. |
記得 SSL 目錄下有個 rootca.cer 嗎?
Readme.txt 有講到, 這就是你的根憑證,
對方若要信任你, 要從根憑證信任先,
這樣才算信任.
所以你要找地方給使用者下載這個檔來安裝信任之,
這樣你就不會被使用者講是"憑證鏈已處理, 但憑證鏈在根憑證時被終止,因為憑證不受信任."
就像中華民國政府內政部有發國民的自然人憑證,
假使今天國內某應用程式(如: 報稅)或國外某單位要直接信任中華民國國民做什麼動作,
它只要先信任中華民國政府內政部(rootca), 那麼, 底下的自然人憑證都都屬被信任的憑證了, 要不去信任某憑證, 除非應用程式有自己的黑名單或該憑證序號已被發佈到內政部的憑證廢止清單(CRL)去.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
凡人
五段
註冊時間: 2002-01-29
文章: 104
來自: Hong Kong
|
| 發表於: 星期三 八月 10, 2005 3:16 am 文章標題: |
|
|
| 本人還有很多對 ssl 的問題, ssl 實際功能在那一方面, 為何 Outlook Express 內沒有安裝 caroot.cer 仍可正常收發電郵 ?...... |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期三 八月 10, 2005 9:27 am 文章標題: |
|
|
| 凡人 寫到: | | 本人還有很多對 ssl 的問題, ssl 實際功能在那一方面, 為何 Outlook Express 內沒有安裝 caroot.cer 仍可正常收發電郵 ?...... |
因為這是 SSLv2, 只驗證Server 端身份, 所以驗得是Server,
有驗就需要 root cert 做憑證鏈驗證.
(單一個憑證不能驗對錯, 就像驗小孩DNA,
你不找他有關係的人一起驗DNA, 怎麼驗得出他是哪家的小孩...)
SSLv3 時, Client 端就要提供憑證做身份驗證了, 你在 IIS 裡頭可以啟用,
https:// 連到你網站時, Browser 就會跳出個讓你選憑證的對話盒, 選個憑證做這次連線身份驗證,加密用.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
Liang
獅王
註冊時間: 2002-11-10
文章: 662
來自: 台灣 , 中華民國
|
| 發表於: 星期五 九月 30, 2005 9:01 am 文章標題: |
|
|
素大:
OpenSSL是否可以產出給收信端使用者來產生加密與簽章的那種SSL認證呢?
如果您了解這些的話,可以請您說明一下嗎?
謝謝您!!
另外看到Sendmail部份有smtps是設在Port 465.
底下是別家的說明中取出的,一樣是提到465...
SSL Port - This controls which port the SSL part of the service will listen on. It is recommended that you keep the default value of 465 as this is the standard SMTP SSL port. |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期五 九月 30, 2005 5:10 pm 文章標題: |
|
|
| Liang 寫到: | 素大:
OpenSSL是否可以產出給收信端使用者來產生加密與簽章的那種SSL認證呢?
如果您了解這些的話,可以請您說明一下嗎?
謝謝您!!
另外看到Sendmail部份有smtps是設在Port 465.
底下是別家的說明中取出的,一樣是提到465...
SSL Port - This controls which port the SSL part of the service will listen on. It is recommended that you keep the default value of 465 as this is the standard SMTP SSL port. |
應該可以.
方法我是還不知,
但我都是用微軟的 Certificate Server 來產生,
比較方便, 因為可以直接匯進 IE, Outlook 就能使用了.
openssl 我則要去看一下才知道方式.
SMTPS 這是 SMTP SSL 沒錯,
我要做也可以(我會SSL, 但TLS 目前Indy 支援不是很好),
有機會的話可以弄弄,
只是很多mail client 並不支援這個.
(這蠻偏門的, 大多都是用25 port 來跑TLS v1.0)
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
Liang
獅王
註冊時間: 2002-11-10
文章: 662
來自: 台灣 , 中華民國
|
| 發表於: 星期五 九月 30, 2005 10:16 pm 文章標題: |
|
|
微軟的 Certificate Server 來產生的 SSL 認證
可以給WEB,SMTP,POP3,FTP用
OpenSSL是一般使用者容易取得的
但是 M$ 只有 Server 級才有
RaidenMailD中的SSL憑證建好
安裝好是在根憑證中
OpenSSL 可以簽署數位加密
在OE使用者寄信時不是有一個加密的啟用那個就是了
不過要先簽署一個憑證並安裝到OE裡面
數位簽章也是有...但是不知道如何簽署上去 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13009
來自: TAIWAN
|
| 發表於: 星期一 十月 03, 2005 5:25 pm 文章標題: |
|
|
| Liang 寫到: | 微軟的 Certificate Server 來產生的 SSL 認證
可以給WEB,SMTP,POP3,FTP用
OpenSSL是一般使用者容易取得的
但是 M$ 只有 Server 級才有
RaidenMailD中的SSL憑證建好
安裝好是在根憑證中
OpenSSL 可以簽署數位加密
在OE使用者寄信時不是有一個加密的啟用那個就是了
不過要先簽署一個憑證並安裝到OE裡面
數位簽章也是有...但是不知道如何簽署上去 |
OpenSSL 的動作
以我給各位用的MaildSSLPackage 裡面的
5SignServerCert.bat
這個動作做就是利用根憑證來發出一個憑證.
只要你的憑證是有私鑰 (Private key), 不是只有一個cert 憑證而已(cert 只包含公鑰及憑證資料), 有了私鑰就能做數位簽章(Digital Signature).
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
Liang
獅王
註冊時間: 2002-11-10
文章: 662
來自: 台灣 , 中華民國
|
| 發表於: 星期三 十月 05, 2005 7:41 am 文章標題: |
|
|
素大:
在您所給的RaidenMailD SSL裡面會產生
cert.pem與privkey.pem
ca -config openssl.cnf -days 1095 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt
這是您給的樣本產生 ca 認證
那麼簽章是否為dgst -config openssl.cnf -days 1095 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt ?
是否可以教授講解一下如何做出簽章呢?
目前只做出數位加密部份缺數位簽章
或者是有人做出加密與簽章,願意教授給大家如何達成?
謝謝~ |
|
| 回頂端 |
|
|
Liang
獅王
註冊時間: 2002-11-10
文章: 662
來自: 台灣 , 中華民國
|
| 發表於: 星期日 十二月 04, 2005 2:02 pm 文章標題: |
|
|
| Arnor 寫到: |
OpenSSL 的動作
以我給各位用的MaildSSLPackage 裡面的
5SignServerCert.bat
這個動作做就是利用根憑證來發出一個憑證.
只要你的憑證是有私鑰 (Private key), 不是只有一個cert 憑證而已(cert 只包含公鑰及憑證資料), 有了私鑰就能做數位簽章(Digital Signature). |
如素大您所說的是用私鑰做加密簽章
步驟類似伺服器加密,不同的是對象
一個是針對伺服器,一個是針對個人電腦郵件
詳細要參考openssl文件
用舊版openssl的使用者要去openssl網頁上看看
有些版本有漏洞要修補升級
另外素大請問是否可以把ssl私鑰密碼改成其它的
在MailD中做一個欄位讓使用者輸入呢? |
|
| 回頂端 |
|
|
|
|
您 無法 在這個版面發表文章
您 無法 在這個版面回覆文章
您 無法 在這個版面編輯文章
您 無法 在這個版面刪除文章
您 無法 在這個版面進行投票
|
Powered by phpBB © 2001-2007 phpBB Group
 |
