Configuración de claves y certificados para TLS
En una integración típica del MTA de modo de reenvío, las siguientes claves y certificados son necesarios para admitir TLS:
- El almacén de claves del MTA ascendente debe contener el certificado de clave pública para el servidor deNetwork Prevent para correo electrónico. Esta clave es necesaria si el MTA ascendente decide autenticarNetwork Prevent para correo electrónicocomo parte de la sesión de TLS.
- El almacén de claves del servidor deNetwork Prevent para correo electrónicodebe contener su propia clave privada, así como un certificado de clave pública para el MTA descendente o el servidor de correo electrónico alojado.
- Si el MTA ascendente se configura para omitir el servidor deNetwork Prevent para correo electrónicocuando el servidor no está disponible, el almacén de confianza del MTA ascendente debe además contener un certificado válido para el MTA descendente o el servicio alojado del correo electrónico.
En una integración del MTA con modo de reflejo, un único MTA actúa como MTA ascendente y MTA descendente. El MTA del modo de reflejo debe contener el certificado de clave pública para el servidor de
Network Prevent para correo electrónico
. El almacén de claves del servidor de Network Prevent para correo electrónico
debe contener su propia clave privada, así como el certificado de clave pública para el MTA del modo de reflejo integrado. Si el MTA del modo reflejo se configura para omitir el servidor de Network Prevent para correo electrónico
cuando el servidor no está disponible, el almacén de confianza del MTA debe además contener un certificado válido para el MTA descendente o el servicio alojado del correo electrónico.Los servidores de correo alojados usan generalmente un certificado de clave pública firmado digitalmente por una autoridad de certificación raíz (CA). Debe obtener el certificado de clave pública firmado por la autoridad de certificación del proveedor alojado de servicios de correo electrónico y agregarlo al almacén de claves del servidor de
Network Prevent para correo electrónico
para la configuración del modo de reenvío. Agregue la clave al almacén de claves del MTA en modo de reflejo en configuraciones del modo de reflejo.Cualquier certificado que agregue al almacén de claves de
Network Prevent para correo electrónico
debe ser un certificado X.509 en el formato de reglas de codificación distinguidas (DER) de correo mejorado privado (.pem
) codificado en base 64, incluido dentro de las cadenas -----BEGIN CERTIFICATE-----
y -----END CERTIFICATE-----
en el archivo de certificado.Paso | Acción | Descripción |
|---|---|---|
Paso 1 | Cambie la contraseña predeterminada del almacén de claves para el servidor de Network Prevent para correo electrónico . | Use la utilidad keytool de Java para cambiar la contraseña predeterminada del almacén de claves del servidor de Network Prevent para correo electrónico por una contraseña segura. A continuación, use la consola de administración de Enforce Server para configurar el servidor de Network Prevent para correo electrónico para que use la contraseña actualizada. |
Paso 2 | Genere el par de claves para el servidor de Network Prevent para correo electrónico . | Utilice la utilidad keytool de Java para generar un par de claves pública/privada para el servidor de Network Prevent para correo electrónico . |
Paso 3 | Exporte el certificado de clave pública desde el almacén de claves del servidor de Network Prevent para correo electrónico . | Use la utilidad keytool para exportar el certificado autofirmado para la clave pública que se generó en el Paso 2. |
Paso 4 | Importe el certificado de clave pública del servidor de Network Prevent para correo electrónico en el almacén de claves del MTA ascendente o en el almacén de claves del MTA en modo de reflejo. | Use keytool para importar el archivo de certificado de la clave pública que se exportó en el Paso 3 al almacén de claves del MTA ascendente. Esto permite al MTA autenticar el servidor de Network Prevent para correo electrónico para la comunicación de TLS.Consulte la documentación del MTA para obtener instrucciones sobre cómo importar certificados de clave pública. |
Paso 5 | Obtenga el certificado de clave pública para el MTA del siguiente salto o para el servicio de correo electrónico alojado. | Obtenga el archivo de certificado de la clave pública para cualquier MTA del siguiente salto que se administre en la red. Consulte la documentación del MTA para obtener instrucciones sobre cómo exportar el certificado. Si está accediendo a un servidor de correo alojado externo como el próximo salto en la cadena de proxy de TLS, obtenga el certificado de clave pública del proveedor. Consulte la documentación del proveedor de servicios del alojamiento de correo electrónico para obtener instrucciones. |
Paso 6 | Para integraciones con el modo de reenvío, agregue el certificado de clave pública del siguiente salto al almacén de claves del servidor de Network Prevent para correo electrónico . | Use la utilidad keytool de Java para importar el certificado de clave pública del servidor de correo alojado o del MTA descendente en el almacén de claves del servidor de Network Prevent para correo electrónico . |
Paso 7 | Para las integraciones con el modo de reflejo, agregue el certificado de clave pública del siguiente salto al almacén de claves del MTA en modo de reflejo. | Consulte la documentación del MTA para obtener instrucciones sobre cómo importar certificados de clave pública. |