Como configurar chaves e certificados para TLS

Em uma integração típica do MTA no modo de encaminhamento, as seguintes chaves e certificados são necessários para oferecer suporte a TLS:
  • O armazenamento de chave do MTA upstream deve conter o certificado de chave pública para o servidor do
    Network Prevent para email
    . Essa chave será necessária se o MTA upstream decidir autenticar o
    Network Prevent para email
    como parte da sessão de TLS.
  • O armazenamento de chave do servidor do
    Network Prevent para email
    deve conter sua própria chave privada, bem como um certificado de chave pública para o MTA downstream ou o servidor de email hospedado
  • Se o MTA upstream estiver configurado para ignorar o servidor do
    Network Prevent para email
    quando o servidor não estiver disponível, o truststore do MTA upstream também deverá conter um certificado válido para o serviço de email MTA downstream ou hospedado.
Em uma integração do MTA em modo de reflexão, um único MTA atua como upstream e downstream. O MTA no modo de reflexão deve conter o certificado de chave pública do servidor do
Network Prevent para email
. O armazenamento de chave do servidor do
Network Prevent para email
deve conter sua própria chave privada, bem como o certificado de chave pública para o MTA integrado no modo de reflexão. Se o MTA no modo de reflexão estiver configurado para ignorar o servidor do
Network Prevent para email
quando o servidor não estiver disponível, o truststore do MTA também deverá conter um certificado válido para o serviço de email MTA downstream ou hospedado.
Os servidores de email hospedados geralmente usam um certificado de chave pública assinado digitalmente por uma CA (Certificate Authority - Autoridade de Certificação) raiz. Você deve obter o certificado de chave pública assinado pela autoridade de certificação de seu provedor de serviços de email hospedado e adicioná-lo ao armazenamento de chave do servidor do
Network Prevent para email
para as configurações do modo de encaminhamento. Adicione a chave ao armazenamento de chave do MTA no modo de reflexão nas configurações do modo de reflexão.
Qualquer certificado que você adicionar ao armazenamento de chave do
Network Prevent para email
deve ser um certificado X.509 no formato DER (Distinguished Encoding Rules - Regras de Codificação Diferenciadas) com codificação de Base64 e com extensão
.pem
(Private Enhanced Mail), devendo ser representado entre as strings
-----BEGIN CERTIFICATE-----
e
-----END CERTIFICATE-----
no arquivo de certificado.
Como configurar chaves e certificados para TLS
Etapa
Ação
Descrição
Etapa 1
Altere a senha padrão do armazenamento de chave para o servidor do
Network Prevent para email
.
Use o utilitário
keytool
do Java para alterar a senha padrão do armazenamento de chave do servidor do
Network Prevent para email
para uma senha segura. Em seguida, use o console de administração do Enforce Server para configurar o servidor do
Network Prevent para email
para usar a senha atualizada.
Etapa 2
Gere o par de chaves do servidor do
Network Prevent para email
.
Use o utilitário
keytool
do Java para gerar um par de chaves pública/privada para o servidor do
Network Prevent para email
.
Etapa 3
Exporte o certificado de chave pública do armazenamento de chave do servidor do
Network Prevent para email
.
Use o utilitário
keytool
para exportar o certificado autoassinado para a chave pública gerada na Etapa 2.
Etapa 4
Importe o certificado de chave pública do servidor do
Network Prevent para email
para o armazenamento de chave do MTA upstream ou para o armazenamento de chave do MTA no modo de reflexão.
Use o
keytool
para importar o arquivo de certificado de chave pública exportado na Etapa 3 para o armazenamento de chave upstream do MTA. Isso permite que o MTA autentique o servidor do
Network Prevent para email
para a comunicação do TLS.
Consulte a documentação do MTA para obter instruções sobre como importar certificados de chave pública.
Etapa 5
Obtenha o certificado de chave pública para o serviço de email hospedado ou MTA de próximo salto.
Obtenha o arquivo de certificado de chave pública para qualquer MTA de próximo salto que você gerencie na rede. Consulte a documentação do MTA para obter instruções sobre como exportar o certificado.
Se você estiver acessando um servidor de email externo hospedado como o próximo salto na cadeia de proxy do TLS, obtenha o certificado de chave pública do seu provedor. Consulte a documentação do provedor de serviços de hospedagem de email para obter instruções.
Etapa 6
Para integrações no modo de encaminhamento, adicione o certificado de chave pública de próximo salto ao armazenamento de chave do servidor do
Network Prevent para email
.
Use o utilitário
keytool
do Java para importar o certificado de chave pública do servidor de email do MTA downstream ou hospedado no armazenamento de chave do servidor do
Network Prevent para email
.
Etapa 7
Para integrações no modo de reflexão, adicione o certificado de chave pública de próximo salto ao armazenamento de chave do MTA no modo de reflexão.
Consulte a documentação do MTA para obter instruções sobre como importar certificados de chave pública.