使用SSL/TLS證書保護Plesk和郵件伺服器的安全。
概要: SSL/TLS 證書通過加密用戶端和伺服器間的連接來保護敏感性資料。為了提高安全性,在 Plesk 安裝過程中,Plesk 和郵件伺服器會自動使用 Let’s Encrypt 的免費 SSL/TLS 證書進行安全保護。
In this topic you will learn how to manually secure both Plesk and the Plesk mail server with a free SSL/TLS certificate from Let’s Encrypt, an SSL/TLS certificate purchased from a certificate authority, or a self-signed SSL/TLS certificate.
在大多數情況下,您無需任何操作,此功能都能夠給您高安全性,讓您安心。即使 伺服器沒有可解析的主機名稱Plesk 都能夠簽發 Let’s Encrypt 的 SSL/TLS 證書。但是可能會發生一些小故障。
如果出於某些原因,未簽發 Let’s Encrypt 的 SSL/TLS 證書,Plesk 和郵件伺服器都將自動受到自簽名 SSL/TLS 證書的安全保護。自簽名 SSL/TLS 證書會加密連接並保護敏感性資料不被截獲。但是自簽名的 SSL/TLS 證書有一個缺點。任何人訪問使用自簽名 SSL/TLS 證書保護的 Plesk 伺服器都會看到一條警告資訊,告訴他們網站不可信。這樣可能會引起客戶的擔憂。為了避免該問題的出現,我們建議手動使用免費的 Let’s Encrypt SSL/TLS 證書或購自證書機構的 SSL/TLS 證書來保護 Plesk 和 Plesk 郵件伺服器的安全。
使用 Let’s Encrypt 證書保護 Plesk 和郵件伺服器的安全
Let’s Encrypt 是一個開放性證書機構,能夠提供免費的 SSL/TLS 證書。
在 Plesk 安裝過程中,Plesk 和郵件伺服器會自動受到 Let’s Encrypt 的免費 SSL/TLS 證書的安全保護。如出於某些原因,沒有實現自動保護,我們建議您手動使用 Let’s Encrypt 證書保護 Plesk 和郵件伺服器的安全。
若要使用 Let’s Encrypt 的證書保護 Plesk 和郵件伺服器的安全,請如下操作:
-
請確保安裝了 Let’s Encrypt 擴展。
-
轉入 工具與設定 > SSL/TLS 證書 (在 “安全” 下)。
-
點按 + Let’s Encrypt 按鈕。
-
請務必確保在」電子郵寄地址」欄中填入的郵箱位址是正確的。該郵箱位址將用於發送重要的通知資訊。
-
點按 重新簽發。
到此步驟,則已生成 Let’s Encrypt 的證書,並自動使用該證書保護 Plesk 的安全。
-
若要保護郵件伺服器的安全,請點按」用於保護郵件安全的證書“旁邊的 [更改] 連結。
-
從下拉清單列表中選擇 “Let’s Encrypt 證書(伺服器池)” ,然後點按 確定 。
現在 Plesk 和 Plesk 郵件伺服器則都受到了 Let’s Encrypt 證書的保護。
備註: 在 Plesk for Linux 中,當 Let’s Encrypt 替換默認的自簽章憑證時,在 工具與設定 > SSL/TLS 證書 中,用於保護 Plesk 安全的證書名稱則被更改為 “Let’s Encrypt 證書”。在 Plesk for Windows 中,只有在瀏覽器中重新載入 工具與設定 > SSL/TLS 證書 後默認的證書名稱才會被更改為 “Let’s Encrypt 證書”。
備註: 您一旦使用了 SSL/TLS 證書保護郵件伺服器的安全,請務必確保使用以下方式訪問郵件:
- 為其簽發了證書(建議您的客戶也如此操作)的 Plesk 伺服器的域名。
- 使用單個 SSL/TLS 證書進行安全保護的域名的郵件。
否則,郵件用戶端軟體可能無法核實會在收發郵件時引發錯誤的郵件伺服器的身份。
使用其它證書機構的證書保護 Plesk 和郵件伺服器的安全
在 Plesk 安裝過程中,Plesk 和郵件伺服器會自動受到 Let’s Encrypt 的免費 SSL/TLS 證書的安全保護。如出於某些原因,沒有實現自動保護,我們建議您手動選用某證書機構的 SSL/TLS 證書保護 Plesk 和郵件伺服器的安全。
若要使用其它證書機構的證書保護 Plesk 和郵件伺服器的安全,請如下操作:
-
轉到 工具與設定 > SSL/TLS 證書(在“安全性”下)點按 + 添加 按鈕。
-
填寫標有星號的欄位。請特別注意下面各個欄位:
- “證書名稱” 給證書起一個辨識度高的名稱,以與伺服器庫中的其它證書相區別。
- “比特” 比特數越多,證書越安全。我們建議使用預設值 (4096)。
- “域名” 請務必確保在該欄位中填入的名稱與伺服器主機名稱相匹配。
-
如果所有填入的資訊都準確無誤,請點按 請求 。
Plesk 將生成一個私密金鑰和證書簽名請求,並將其在 “伺服器池中的證書清單” 下顯示。
-
在 “伺服器池中的證書列表” 下找到證書並點按其名稱。即會打開顯示該證書屬性的頁面。
-
複製 “CSR” 部分的所有內容(包括
-----BEGIN CERTIFICATE REQUEST-----
和-----END CERTIFICATE REQUEST-----
)到剪下板。 -
存取您所選的證書機構的網站並開始訂購證書。當提示您提供 CSR 時,請從剪下板貼上資料。證書機構將會根據您提供的資訊創建 SSL/TLS 證書。接收到 SSL/TLS 證書後,請將其保存到本機或本地網路上。
-
進入 工具與設定 > SSL/TLS 證書 ,點按 選擇文件 (在 “在此處上傳證書” 下),選擇已保存的
.crt
文件,然後點按 上傳證書 。 -
若要保護 Plesk 的安全,請點按 “用於保護 Plesk 安全的證書” 旁的 [更改] 連結。從下拉清單中選擇在第 3 步驟中生成的證書,然後點按 確定 。
-
若要保護郵件伺服器的安全,請在 “用於保護郵件安全的證書” 旁重複上一個步驟。
備註: 您一旦使用了 SSL/TLS 證書保護郵件伺服器的安全,請務必確保使用以下方式訪問郵件:
- 為其簽發了證書(建議您的客戶也如此操作)的 Plesk 伺服器的域名。
- 使用單個 SSL/TLS 證書進行安全保護的域名的郵件。
否則,郵件用戶端軟體可能無法核實會在收發郵件時引發錯誤的郵件伺服器的身份。
使用自簽章憑證保護 Plesk 和郵件伺服器的安全
如我們之前所說,最好使用 Let’s Encrypt 的 SSL/TLS 證書和其它證書機構的付費證書。但是,您可能需要使用自簽名 SSL/TLS 證書保護 Plesk 和郵件伺服器的安全,例如證書機構簽發的證書到期了的時候。
若要使用自簽章憑證保護 Plesk 和郵件伺服器的安全,請如下操作:
- 轉到 工具與設定 > SSL/TLS 證書(在“安全性”下)點按 + 添加 按鈕。
- 填寫標有星號的欄位。請特別注意下面各個欄位:
- “證書名稱” 給證書起一個辨識度高的名稱,以與伺服器庫中的其它證書相區別。
- “比特” 比特數越多,證書越安全。我們建議使用預設值 (4096)。
- “域名” 請務必確保在該欄位中填入的名稱與伺服器主機名稱相匹配。
- 如果所有填入的資訊都準確無誤,請點按 自簽名 。Plesk 將會生成一個自簽章憑證,且會在 “伺服器池中的證書清單” 下顯示。
- 若要保護 Plesk 的安全,請點按“用於保護 Plesk 的安全的證書”旁的 [更改] 連結。從下拉清單中選擇之前步驟中生成的證書,然後點按 確定。
- 若要保護郵件伺服器的安全,請在 “用於保護郵件安全的證書” 旁重複上一個步驟。