Configuration des clés et des certificats pour TLS

Dans une intégration MTA en mode de transfert standard, les clés et les certificats suivants sont requis pour la prise en charge de TLS :
  • Le magasin de clés de l'agent MTA en amont doit contenir le certificat de clé publique du serveur
    Network Prevent for E-mail
    . Cette clé est requise si l'agent MTA en amont décide d'authentifier
    Network Prevent for E-mail
    dans le cadre de la session TLS.
  • Le magasin de clés du serveur
    Network Prevent for E-mail
    doit contenir sa propre clé privée ainsi qu'un certificat de clé publique pour l'agent MTA en aval ou pour le serveur de messagerie hébergé.
  • Si vous configurez un agent MTA en amont pour qu'il contourne le serveur
    Network Prevent for E-mail
    lorsque celui-ci n'est pas disponible, le magasin d'approbations de l'agent MTA en amont doit également contenir un certificat valide pour l'agent MTA en aval ou pour le serveur de messagerie hébergé.
Dans une intégration MTA en mode Réflexion, un seul agent MTA agit en tant qu'agent MTA en amont et qu'agent MTA en aval. L'agent MTA en mode Réflexion doit contenir le certificat de clé publique du serveur
Network Prevent for E-mail
. Le magasin de clés du serveur
Network Prevent for E-mail
doit contenir sa propre clé privée ainsi que le certificat de clé publique de l'agent MTA en mode Réflexion intégré. Si vous configurez un agent MTA en mode Réflexion pour qu'il contourne le serveur
Network Prevent for E-mail
lorsque celui-ci n'est pas disponible, le magasin d'approbations de l'agent MTA doit également contenir un certificat valide pour l'agent MTA en aval ou pour le serveur de messagerie hébergé.
Les serveurs de messagerie hébergés utilisent généralement un certificat de clé publique signé numériquement par une autorité de certification racine (CA). Vous devez obtenir le certificat de clé publique signé par une autorité de certification auprès de votre fournisseur de services de messagerie électronique hébergés et l'ajouter au magasin de clés du serveur
Network Prevent for E-mail
pour les configurations en mode de transfert. Ajoutez la clé au magasin de clés de l'agent MTA en mode Réflexion dans les configurations en mode Réflexion.
Les certificats que vous ajoutez au magasin de clés
Network Prevent for E-mail
doivent être des certificats X.509 au format
.pem
(Private Enhanced Mail), DER (Base64-end Distinguished Encoding Rules) et placés entre les chaînes
-----BEGIN CERTIFICATE-----
et
-----END CERTIFICATE-----
dans le fichier de certificat.
Configuration des clés et des certificats pour TLS
Étape
Action
Description
Étape 1
Modifiez le mot de passe par défaut du magasin de clés d'un serveur
Network Prevent for E-mail
.
Utilisez l'utilitaire
keytool
de Java pour remplacer le mot de passe par défaut du magasin de clés du serveur
Network Prevent for E-mail
par un mot de passe sécurisé. Ensuite, utilisez la console d'administration du serveur Enforce afin de configurer le serveur
Network Prevent for E-mail
pour qu'il utilise le mot de passe mis à jour.
Étape 2
Générez la paire de clés pour le serveur
Network Prevent for E-mail
.
Utilisez l'utilitaire
keytool
de Java pour générer une paire de clés publique/privée pour le serveur
Network Prevent for E-mail
.
Étape 3
Exportez le certificat de clé publique à partir du magasin de clés du serveur
Network Prevent for E-mail
.
Utilisez l'utilitaire
keytool
pour exporter le certificat auto-signé pour la clé publique que vous avez générée à l'étape 2.
Étape 4
Importez le certificat de clé publique du serveur
Network Prevent for E-mail
dans le magasin de clés de l'agent MTA en amont ou dans le magasin de clés de l'agent MTA en mode Réflexion.
Utilisez l'outil
keytool
pour importer le fichier de certificat de clé publique que vous avez exporté à l'étape 3 dans le magasin de clés de l'agent MTA en amont. L'agent MTA peut ainsi authentifier le serveur
Network Prevent for E-mail
pour la communication TLS.
Pour obtenir des instructions sur l'importation des certificats de clé publique, consultez la documentation de l'agent MTA.
Étape 5
Obtenez le certificat de clé publique pour l'agent MTA ou le service de messagerie électronique hébergé du tronçon suivant.
Obtenez le fichier de certificat de clé publique pour tout agent MTA du tronçon suivant que vous gérez sur le réseau. Pour obtenir des instructions sur la procédure d'exportation du certificat, consultez la documentation de l'agent MTA.
Si vous accédez à un serveur de messagerie hébergé externe comme tronçon suivant de la chaîne de proxy TLS, contactez votre fournisseur pour obtenir le certificat de clé publique. Consultez la documentation de votre fournisseur de services d'hébergement de messages électroniques pour obtenir des instructions.
Étape 6
Pour les intégrations en mode de transfert, ajoutez le certificat de clé publique du tronçon suivant au magasin de clés du serveur
Network Prevent for E-mail
.
Utilisez l'utilitaire
keytool
de Java pour importer le certificat de clé publique de l'agent MTA en aval ou du serveur de messagerie hébergé dans le magasin de clés du serveur
Network Prevent for E-mail
.
Étape 7
Pour les intégrations en mode Réflexion, ajoutez le certificat de clé publique du tronçon suivant au magasin de clés de l'agent MTA en mode Réflexion.
Pour obtenir des instructions sur l'importation des certificats de clé publique, consultez la documentation de l'agent MTA.