Como configurar chaves e certificados para TLS
Em uma integração típica do MTA no modo de encaminhamento, as seguintes chaves e certificados são necessários para oferecer suporte a TLS:
- O armazenamento de chave do MTA upstream deve conter o certificado de chave pública para o servidor doNetwork Prevent para email. Essa chave será necessária se o MTA upstream decidir autenticar oNetwork Prevent para emailcomo parte da sessão de TLS.
- O armazenamento de chave do servidor doNetwork Prevent para emaildeve conter sua própria chave privada, bem como um certificado de chave pública para o MTA downstream ou o servidor de email hospedado
- Se o MTA upstream estiver configurado para ignorar o servidor doNetwork Prevent para emailquando o servidor não estiver disponível, o truststore do MTA upstream também deverá conter um certificado válido para o serviço de email MTA downstream ou hospedado.
Em uma integração do MTA em modo de reflexão, um único MTA atua como upstream e downstream. O MTA no modo de reflexão deve conter o certificado de chave pública do servidor do
Network Prevent para email
. O armazenamento de chave do servidor do Network Prevent para email
deve conter sua própria chave privada, bem como o certificado de chave pública para o MTA integrado no modo de reflexão. Se o MTA no modo de reflexão estiver configurado para ignorar o servidor do Network Prevent para email
quando o servidor não estiver disponível, o truststore do MTA também deverá conter um certificado válido para o serviço de email MTA downstream ou hospedado.Os servidores de email hospedados geralmente usam um certificado de chave pública assinado digitalmente por uma CA (Certificate Authority - Autoridade de Certificação) raiz. Você deve obter o certificado de chave pública assinado pela autoridade de certificação de seu provedor de serviços de email hospedado e adicioná-lo ao armazenamento de chave do servidor do
Network Prevent para email
para as configurações do modo de encaminhamento. Adicione a chave ao armazenamento de chave do MTA no modo de reflexão nas configurações do modo de reflexão. Qualquer certificado que você adicionar ao armazenamento de chave do
Network Prevent para email
deve ser um certificado X.509 no formato DER (Distinguished Encoding Rules - Regras de Codificação Diferenciadas) com codificação de Base64 e com extensão .pem
(Private Enhanced Mail), devendo ser representado entre as strings -----BEGIN CERTIFICATE-----
e -----END CERTIFICATE-----
no arquivo de certificado.Etapa | Ação | Descrição |
|---|---|---|
Etapa 1 | Altere a senha padrão do armazenamento de chave para o servidor do Network Prevent para email . | Use o utilitário keytool do Java para alterar a senha padrão do armazenamento de chave do servidor do Network Prevent para email para uma senha segura. Em seguida, use o console de administração do Enforce Server para configurar o servidor do Network Prevent para email para usar a senha atualizada. |
Etapa 2 | Gere o par de chaves do servidor do Network Prevent para email . | Use o utilitário keytool do Java para gerar um par de chaves pública/privada para o servidor do Network Prevent para email . |
Etapa 3 | Exporte o certificado de chave pública do armazenamento de chave do servidor do Network Prevent para email . | Use o utilitário keytool para exportar o certificado autoassinado para a chave pública gerada na Etapa 2. |
Etapa 4 | Importe o certificado de chave pública do servidor do Network Prevent para email para o armazenamento de chave do MTA upstream ou para o armazenamento de chave do MTA no modo de reflexão. | Use o keytool para importar o arquivo de certificado de chave pública exportado na Etapa 3 para o armazenamento de chave upstream do MTA. Isso permite que o MTA autentique o servidor do Network Prevent para email para a comunicação do TLS.Consulte a documentação do MTA para obter instruções sobre como importar certificados de chave pública. |
Etapa 5 | Obtenha o certificado de chave pública para o serviço de email hospedado ou MTA de próximo salto. | Obtenha o arquivo de certificado de chave pública para qualquer MTA de próximo salto que você gerencie na rede. Consulte a documentação do MTA para obter instruções sobre como exportar o certificado. Se você estiver acessando um servidor de email externo hospedado como o próximo salto na cadeia de proxy do TLS, obtenha o certificado de chave pública do seu provedor. Consulte a documentação do provedor de serviços de hospedagem de email para obter instruções. |
Etapa 6 | Para integrações no modo de encaminhamento, adicione o certificado de chave pública de próximo salto ao armazenamento de chave do servidor do Network Prevent para email . | Use o utilitário keytool do Java para importar o certificado de chave pública do servidor de email do MTA downstream ou hospedado no armazenamento de chave do servidor do Network Prevent para email . |
Etapa 7 | Para integrações no modo de reflexão, adicione o certificado de chave pública de próximo salto ao armazenamento de chave do MTA no modo de reflexão. | Consulte a documentação do MTA para obter instruções sobre como importar certificados de chave pública. |