简介
本文描述如何生成2048个证书签名请求的(CSR)位关键支持在思科IronPort加密设备(IEA)。
配置
大多证书权限(CA)陈述一明确请求有所有CSR生成与一密钥对长度2048位。默认情况下, IEA版本6.5使用1024个位密钥长度密钥对产生。为了强制IEA生成一密钥对长度2048,请使用keytool命令如描述此处。
生成证书
- 登陆对IEA CLI
- 在主菜单,请键入x为了丢弃到shell。
- 变成root用户:
$ su -
- 执行keytool为了创建一新的keystore :
# /usr/local/postx/server/jre/bin/keytool -genkey -alias <server alias>
-keyalg RSA -keysize 2048 -keystore <name the new keystore>
*alias should be what the server is known as externally when customers
log into the device
*When prompted for password use a easily remembered password
*Enter in all requested information when prompted for the certificate
request, make special note of the next question:
--- What is your first and last name?
[Unknown]: server1.example.com
*For this question enter in the fully qualified domain name
of the system
*The name of the newkeystore should be in the format <name>.keystore
where name should include the current date
Example: enterpriseks20130108.keystore

- 执行keytool为了创建CSR文件:
# /usr/local/postx/server/jre/bin/keytool -certreq -keyalg RSA -alias <server alias>
-file <servername>.csr -keystore <name of the new keystore>

- 提供CSR文件给认证机关为了生成证书。保证您提交它作为Apache Web服务器Certficate署名请求。
- 在您接收从CA后的.cer文件,请继续对以下步骤。
导入证书
注意:使用的密码,当您生成CSR时必须匹配keystore密码为了这些步骤能工作。 如果CSR创建的箱外,输入的密码必须匹配keystore密码为了这些步骤能工作。
您必须正确地串连证书
- 必须从在文本编辑接收从CA一起然后合并的CER文件解压缩每个CA证书。
注意:从Microsoft Windows计算机是最容易执行的这。其他操作系统工作,但是更难解压缩。
按此顺序必须串连证书: 1.Domain 2.半成品3.Root
- 双击为了打开证书文件(.CER文件),然后单击证书路径选项卡:

- 从中级证书路径开始,点击详细信息选项卡,单击“Copy”到文件,然后名称它1.CER。

- 选择Base-64编码X.509(.CER)。

- 为最高级CA重复,并且命名它2.CER。
- 为服务器证书重复,并且命名它3.CER。

- 请使用文本编辑(不是记事本,但是良好notepad++工作)为了打开全部三个X.CER文件和按顺序(1在顶部,和3结合他们在底部) :


注意:不应该有在证书和没有空线路之间的空线路在底部。
- 保存作为<servername>.CER。
- 上传<servername>.CER文件对IEA在与FTP或SCP的/home/admin/ <servername.cer>。
- 复制/home/admin/ <servername.cer>对/usr/local/postx/server/conf :

- 请使用IEA GUI为了导入证书[密钥和证书|设置的SSL]。
注意:Keystore = [Install Directory] /conf/enterprisenamestore.keystore或您的keystore文件目前的名字。
证书= /usr/local/postx/server/conf/NEWCERT.CER。
- 检查托拉斯CA Certs。
- 点击进口证明书

- (可选--如果必须创建一新的keystore)。从IEA GUI,请告诉IEA使用新的keystore :
- 选择配置|Web服务器和代理|web 服务器|连接监听程序|HTTPS
- 输入路径到新的keystore文件:
示例: ${postx.home}/conf/2013_5_13.keystore

- 部署更改并且重新启动SMTP适配器。
当前没有可用于此配置的验证过程。
目前没有针对此配置的故障排除信息。