準備匯入憑證授權簽章的 TLS 憑證

設計用於匯入到 Kaspersky Secure Mail Gateway 的由憑證授權簽章的 TLS 憑證（CA 憑證）必須符合以下要求：

• 憑證檔案必須在 Kaspersky Secure Mail Gateway 使用的憑證清單中具有唯一名稱。
• 伺服器憑證、中間和根 CA 憑證的檔案以及私密金鑰檔案必須採用 PEM 格式。
• 金鑰長度必須為 1024 位或更長。
• 您必須具有完整的憑證鏈 – 伺服器憑證到根 CA 憑證的路徑。

  接收 CA 憑證時，除伺服器憑證外，可能還需要使用中間憑證。

• 必須採用以下順序在憑證連結中指定憑證：首先是伺服器憑證，接下來是中間 CA 憑證。
• 不得在憑證連結中略過中間憑證。
• 憑證連結不得包括與目前認證無關的任何憑證。

例如，下面是如何準備匯入其私密金鑰包含在 key.pem 檔案中的由憑證授權簽章的 TLS 伺服器憑證 server_cert.pem 的說明。中間伺服器憑證的名稱為中間 CA。根憑證的名稱為根 CA。

準備要匯入到 Kaspersky Secure Mail Gateway 的由憑證授權簽章的 TLS 憑證：

1. 在 TLS 憑證檔案中，刪除存取憑證的金鑰（若有）。為此，請執行以下指令：

   # openssl rsa -in <私密金鑰檔案的名稱>.pem -out <已刪除密碼的私密金鑰檔案的名稱>.pem

   例如，您可以執行以下指令：

   # openssl rsa -in key.pem -out key-nopass.pem

2. 執行以下操作之一：
   • 如果確定伺服器將為其提供此憑證的用戶端具有其自己的根和中間 CA 憑證的副本，則將私密金鑰、伺服器憑證、中間和根 CA 憑證組合到一個檔案中。為此，請執行以下指令：

     % cat <已刪除密碼的私密金鑰檔案的名稱>.pem <伺服器憑證的名稱>.pem <中間 CA 憑證的名稱>.pem <根 CA 憑證的名稱>.pem <組合檔案後 TLS 憑證的名稱>.pem

     例如，您可以執行以下指令：

     % cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem

   • 如果不確定伺服器將為其提供此憑證的用戶端具有其自己的根和中間 CA 憑證的副本，則將私密金鑰和伺服器憑證組合到一個檔案中。為此，請執行以下指令：

     % cat <已刪除密碼的私密金鑰檔案的名稱>.pem <伺服器憑證的名稱>.pem <組合檔案後伺服器憑證的名稱>.pem

     例如，您可以執行以下指令：

     % cat key-nopass.pem server_cert.pem > cert.pem

由憑證授權簽章的 TLS 憑證（例如，cert.pem）已準備好匯入到 Kaspersky Secure Mail Gateway 中。

另請參閱 在 Kaspersky Secure Mail Gateway 運行中使用 TLS 協定 建立 TLS 憑證 刪除 TLS 憑證 準備要匯入的自簽章 TLS 憑證 從檔案匯入 TLS 憑證

頁面頂端