SSL/TLS 证书

Winmail 服务器和客户之间所有的安全(Secure)通讯都使用加密的方式，以保护通讯数据的安全；Winmail 使用 SSL 加密通讯协议，服务器首先 使用一对不对称密钥与客户交换一个共享的对称密钥，此密钥被用来对通讯 数据加密。

不对称密钥有两个密钥: 公钥(Public Key)和私钥(Private Key),使用其中任 一个密钥加密的数据，必须要用另一个密钥解密。正如它们的名字，公钥被提供 给任何想和服务器通讯的客户，而私钥仅仅被服务器使用，且必须保密；对客户 而言需要鉴别服务器的身份(防止服务器被假冒)，通常使用证书标识服务器，证书包含服务器的公钥、服务器的名称、有效日期和其它细节；为确保证书的真实性，证书 应该被第三方(CA)证明和签署。

客户与服务器的通讯原理概要：客户产生一个对称的密钥K，然后接收服务器发送过来的 服务器的证书，并使用证书中公钥(服务器的公钥)加密对称密钥K，然后把加密的密钥发送给 服务器，服务器使用只有自己知道的服务器的私钥解密数据得到对称密钥K；因此对称密钥 只有通讯双方的客户和服务器知道,保证了通讯数据的安全。

Winmail 证书

请访问 https://www.winmail.cn/docs/ssl/ 查看网站上的 "Winmail 配置SSL服务器证书"

Winmail 证书和私钥一般放在安装目录的certs子目录下，扩展名为“.crt”的文件 是存放证书的文件，扩展名为“.csr”的是存放请求的文件（下面部分有解释），扩展名是“.key”的是存放私钥的文件，证书文件(或请求文件)同文件名相同的私钥文件意义对应。
安装完成后 会有一个初试的示例证书，建议客户要及时创建、使用自己的证书。

下面以OE(OutLook Express 6.0)使用Secure IMAP客户为例，说明证书的应用，如果服务器 发送给OE的证书不被OE信任将会看到一下的信息，如果被OE信任将不会显示以下的信息。

点击 "是"， 那么同服务器连接将接续
点击 "否"， 将断开同服务器的连接

注意： 如果要让客户端直接信任服务器所发送的证书，不产生警告对话框； 可以将服务器正在使用的证书导出，然后将此证书发放给各个客户； 客户将此证书导入客户端机器即可，具体的证书的导入可以参照具体 客户端软件的帮助文档(以Windows Outlook为例， 只要双击证书，再点击安装证书按钮即可)。以上操作的必要条件是： 证书中的主机名必须和服务器正确的主机名以及客户端软件设置部分 填写的服务器主机名保持一致才能让客户端信任此证书。

证书管理

Winmail 提供了管理证书的功能，主要创建，管理证书和证书请求。
证书：可以创建和管理自签名证书，是不被信任的(除非是根证书)，但是可以完成加密的通讯。也可以导入外部证书机构颁发的可信任的加密证书
证书请求：按指定要求生成公私钥证书请求(CSR)，但没有被签名，不能用来做为证书完成加密通讯。需要先导出请求，发送第三方证书机构签署后可以正常使用。

1. 新建

创建新的自签名证书或证书请求。
当多个域名同时使用一个证书时，需要设置“使用者备用名”，如，DNS:mail.winmail.cn, DNS:mail.119.com, DNS:mail.test.com

1. 查看

3. 导入

导入新证书：把本机（管理端）中的证书和与证书对应的密钥导入服务的证书管理数据库
导入已签名证书：当请求被选中时，可以导入一个这个请求第三方被签名后生成的证书， 如果选择的证书不是本请求本第三方签名的证书，本导入操作将失败

1. 导出
   

   导出证书，导出请求：导出被选中的证书或者请求，并以文件的形式存储在本机中，证书的默认扩展名“.crt”，请求的默认扩展名“.csr"，导出的证书可以产看更为详细的信息。
   导出私钥：导出与被选中证书或者请求相对应的私钥，并以文件的形式存储在本机中，默认扩展名“.key”

2. 删除
   

   删除被选中的证书或者请求，与之对于的私钥也被删除

3. 激活
   

   指定 Winmail 服务使用被选定的证书进行 SSL 通讯

4. 刷新
   

   重新获取 Winmail 服务器中证书或者请求的列表