SSL/TLS證書通過加密用戶端與伺服器之間的連接來保護敏感性資料。而且,擁有一個有效的SSL/TLS證書也是當今互聯網的趨勢要求。為了提高安全性並讓您的客戶放心,我們強力建議使用SSL/TLS證書來保護Plesk和Plesk郵件伺服器的安全。本主題主要闡述如何使用來自Let’s Encrypt的免費SSL/TLS證書、購自證書機構的SSL/TLS證書或者自簽名SSL/TLS證書來保護Plesk和Plesk郵件伺服器的安全。

在安裝過程中,Plesk和Plesk郵件伺服器都會自動受到免費的自簽名SSL/TLS證書的保護。這樣會加密Plesk和Plesk郵件伺服器之間的連接,對其進行保護,例如,保護密碼不至於在傳輸過程中被截獲。但是自簽名的SSL/TLS證書本身有一個缺點。任何人存取使用自簽名SSL/TLS證書保護的Plesk伺服器都會收到警告資訊,告訴他們網站不可信,這樣可能會引起訪客擔心存取的安全。為了避免該問題的出現,我們建議使用免費的Let’s Encrypt SSL/TLS 證書或購自證書機構的SSL/TLS證書來保護Plesk和Plesk郵件伺服器的安全。

備註: 如果您使用一個SSL/TLS證書保護Plesk郵件伺服器的安全,請確保使用連接郵件伺服器時簽發證書所用的域名,並建議您的客戶也照此操作。否則,郵件用戶端軟體可能無法識別郵件伺服器的身份,在收發郵件時可能會出現問題。

使用 Let’s Encrypt 證書保護 Plesk 和郵件伺服器的安全

Let’s Encrypt 是一個開源式證書機構,能夠提供免費的 SSL/TLS 證書。通過免費的 Let’s Encrypt 擴展 能夠輕鬆地使用 SSL/TLS 證書保護 Plesk 和 Plesk 郵件伺服器的安全。

當您安裝或升級 Let’s Encrypt 擴展時,如果當時是通過一個自簽章憑證保護 Plesk 安全的,那麼該擴展則會自動使用一個有效的 Let’s Encrypt SSL/TLS 證書替換該自簽章憑證。該擴展不會自動保護 Plesk 郵件伺服器的安全。

如果您想要用 Let’s Encrypt 的證書替換某個證書機構簽發的有效證書,可通過以下步驟來實現。

若要使用 Let’s Encrypt 的證書保護 Plesk 和郵件伺服器的安全,請如下操作:

  1. 如果未安裝 Let’s Encrypt 擴展 ,請首先安裝該擴展。

  2. 轉入 工具與設定 > SSL/TLS 證書 (在 “安全” 下)。

  3. 點按 + Let’s Encrypt 按鈕。

  4. 請務必確保在」電子郵寄地址」欄中填入的郵箱位址是正確的。該郵箱位址將用於發送重要的通知資訊。

  5. 點按 安裝

    到此步驟,則已生成 Let’s Encrypt 的證書,並自動使用該證書保護 Plesk 的安全。

  6. 若要保護郵件伺服器的安全,請點按」用於保護郵件安全的證書“旁邊的 [更改] 連結。

  7. 從下拉清單列表中選擇 “Lets Encrypt 證書(伺服器池)” ,然後點按 確定

現在 Plesk 和 Plesk 郵件伺服器則都受到了 Let’s Encrypt 證書的保護。

image 78764

備註: 在 Plesk for Linux 中,當 Let’s Encrypt 替換默認的自簽章憑證時,在 工具與設定 > SSL/TLS 證書 中,用於保護 Plesk 安全的證書名稱則被更改為 “Lets Encrypt 證書”。在 Plesk for Windows 中,只有在進入 工具與設定 > SSL/TLS 證書 頁面中重新載入後預設的證書名稱才會被更改為 “Lets Encrypt 證書”。

使用其它證書機構的證書保護 Plesk 和郵件伺服器的安全

除了 Let’s Encrypt,您還可以使用其它證書機構的 SSL/TLS 證書保護 Plesk 和 Plesk 郵件伺服器的安全。

若要使用其它證書機構的證書保護 Plesk 和郵件伺服器的安全,請如下操作:

  1. 進入 工具與設定 > SSL/TLS 證書 (在 「安全」 下)點按 + 添加 按鈕

  2. 填寫標有星號的欄位。請特別注意下面各個欄位:

    • “證書名稱” 給證書起一個辨識度高的名稱,以與伺服器庫中的其它證書相區別。
    • “比特” 比特數越多,證書越安全。我們建議使用預設值 (4096)。
    • “域名”  請務必確保在該欄位中填入的名稱與伺服器主機名稱相匹配。

  3. 如果所有填入的資訊都準確無誤,請點按 請求

    Plesk 將生成一個私密金鑰和證書簽名請求,並將其在 “伺服器池中的證書清單” 下顯示。

  4. 在 “伺服器池中的證書列表” 下找到證書並點按其名稱。即會打開顯示該證書屬性的頁面。

複製 “CSR” 部分的所有內容(包括 -----BEGIN CERTIFICATE REQUEST—– 和 -----END CERTIFICATE REQUEST----- )到剪下板。

  1. 存取您所選的證書機構的網站並開始訂購證書。當提示您提供 CSR 時,請從剪下板貼上資料。證書機構將會根據您提供的資訊創建 SSL/TLS 證書。接收到 SSL/TLS 證書後,請將其保存到本機或本地網路上。
  2. 進入 工具與設定 > SSL/TLS 證書 ,點按 選擇文件 (在 “在此處上傳證書” 下),選擇已保存的 .crt 文件,然後點按 上傳證書
  3. 若要保護 Plesk 的安全,請點按 “用於保護 Plesk 安全的證書” 旁的 [更改] 連結。從下拉清單中選擇在第 3 步驟中生成的證書,然後點按 確定
  4. 若要保護郵件伺服器的安全,請在 “用於保護郵件安全的證書” 旁重複上一個步驟。

使用自簽章憑證保護 Plesk 和郵件伺服器的安全

如我們之前所說,自簽名的 SSL/TLS 證書永遠不會被信任。所以最好使用 Let’s Encrypt 的 SSL/TLS 證書和其它證書機構的付費證書。但是,如果需要也可以使用自簽章憑證保護 Plesk 和郵件伺服器的安全。

若要使用自簽章憑證保護 Plesk 和郵件伺服器的安全,請如下操作:

  1. 進入 工具與設定 > SSL/TLS 證書 (在 「安全」 下)點按 + 添加 按鈕
  2. 填寫標有星號的欄位。請特別注意下面各個欄位:
    • “證書名稱” 給證書起一個辨識度高的名稱,以與伺服器庫中的其它證書相區別。
    • “比特” 比特數越多,證書越安全。我們建議使用預設值 (4096)。
    • “域名”  請務必確保在該欄位中填入的名稱與伺服器主機名稱相匹配。
  3. 如果所有填入的資訊都準確無誤,請點按 自簽名 。Plesk 將會生成一個自簽章憑證,且會在 “伺服器池中的證書清單” 下顯示。
  4. 若要保護 Plesk 的安全,請點按 “用於保護 Plesk 安全的證書” 旁的 [更改] 連結。從下拉清單中選擇在上一步驟中生成的證書,然後點按 確定。
  5. 若要保護郵件伺服器的安全,請在 “用於保護郵件安全的證書” 旁重複上一個步驟。