Kaspersky Secure Mail Gateway 帮助

准备导入证书颁发机构签名的 TLS 证书

设计用于导入到 Kaspersky Secure Mail Gateway 的由证书颁发机构签名的 TLS 证书（CA 证书）必须符合以下要求：

• 证书文件必须在 Kaspersky Secure Mail Gateway 使用的证书列表中具有唯一名称。
• 服务器证书、中间和根 CA 证书的文件以及私钥文件必须采用 PEM 格式。
• 密钥长度必须为 1024 位或更长。
• 您必须具有完整的证书链 – 服务器证书到根 CA 证书的路径。

  接收 CA 证书时，除服务器证书外，可能还需要使用中间证书。

• 必须采用以下顺序在证书链中指定证书：首先是服务器证书，接下来是中间 CA 证书。
• 不得在证书链中跳过中间证书。
• 证书链不得包括与当前认证无关的任何证书。

例如，下面是如何准备导入其私钥包含在 key.pem 文件中的由证书颁发机构签名的 TLS 服务器证书 server_cert.pem 的说明。中间服务器证书的名称为中间 CA。根证书的名称为根 CA。

准备要导入到 Kaspersky Secure Mail Gateway 的由证书颁发机构签名的 TLS 证书：

1. 在 TLS 证书文件中，删除访问证书的密钥（若有）。为此，请执行命令：

   # openssl rsa -in <私钥文件的名称>.pem -out <已删除密码的私钥文件的名称>.pem

   例如，您可以执行以下命令：

   # openssl rsa -in key.pem -out key-nopass.pem

2. 执行以下操作之一：
   • 如果确定服务器将为其提供此证书的客户端具有其自己的根河中间 CA 证书的副本，则将私钥、服务器证书、中间和根 CA 证书组合到一个文件中。为此，请执行命令：

     % cat <已删除密码的私钥文件的名称>.pem <服务器证书的名称>.pem <中间 CA 证书的名称>.pem <根 CA 证书的名称>.pem <组合文件后 TLS 证书的名称>.pem

     例如，您可以执行以下命令：

     % cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem

   • 如果不确定服务器将为其提供此证书的客户端具有其自己的根河中间 CA 证书的副本，则将私钥和服务器证书组合到一个文件中。为此，请执行命令：

     % cat <已删除密码的私钥文件的名称>.pem <服务器证书的名称>.pem <组合文件后服务器证书的名称>.pem

     例如，您可以执行以下命令：

     % cat key-nopass.pem server_cert.pem > cert.pem

由证书颁发机构签名的 TLS 证书（例如，cert.pem）已准备好导入到 Kaspersky Secure Mail Gateway 中。