管理员可以使用TLS加密享受更多对电子邮件归档的安全移动访问

作者：mailstore，更新时间：2020-07-16 16:44:08

现在比以往任何时候，中小型企业的管理员都面临着让用户随时随地访问其服务和数据的挑战。虽然VPN曾经是管理它的首选方法，尽管它们很复杂，但由于智能手机的接受以及由此产的“自带设备”（BYOD）趋势，确保通用访问已经发展成为管理员更复杂的任务。同时，更多的解决方案提供了合适的基于Web的访问，这需要客户端平台独立性的优势以及管理员提供服务的较低要求。

更安全，用户友好的基于Web的访问
在使基于Web的访问安全且用户友好时，应考虑两个要点：

访问权限必须加密。
客户端和/或Web浏览器必须信任所使用的证书
当前的Web浏览器在未传输密码或信用卡详细信息时将网站标记为不安全。应该假设这种类型的标记将在未来延伸到所有未加密的网站，以始终保护传输的数据免受第三方的窥探。目前，公共无线网络中未加密的数据传输带来了巨大的风险，只能通过加密强制服务器端来应对。

TLS加密证书
因此，管理员应转向TLS加密，并相应地使用证书保护其服务。由于通常在安装期间创建的自签名证书或由内部证书颁发机构（CA）签名的证书不容易信任，因此应避免使用生产。相反，我们建议您使用由官方证书颁发机构（CA）签署的证书。根据存储在浏览器和操作系统中的信息，自动信任这些类型的签名证书。

原则上，一般程序不依赖于所使用的服务，并按如下方式执行：

生成私钥和公钥。然后，创建证书签名请求（CSR），其中包含要应用的证书的详细信息。公钥是CSR的一部分。
然后将CSR传输到证书颁发机构（CA）。这通常通过CA的网站进行。
然后，这些证书将从CSR生成证书（如果需要，在以附加文档或电话呼叫的形式进行验证后），该证书已签名，然后作为签名证书发回给您。
现在，CA签署的证书可用于一项服务，或者，如果需要，可用于多种服务。集成是特定于产品的。

域的通配符证书
除了一个服务或服务器的单个证书外，还有整个域的“通配符证书”，这些证书对域本身（例如example.com）及其中包含的所有现有主机名（* .example.com）都有效。 。如果管理员希望在不同的主机名下保护大量服务，则这些主要是有利的。它们只有一个缺点：如果其中一个带有通配符证书的服务器受到威胁，则必须在每台服务器上撤销并替换通配符证书。使用单个证书时，只需对受影响的服务器执行此操作。

MailStore选择加密通信
在MailStore Server和MailStore Service Provider Edition的10.2版本中，我们已经开始逐步调整我们的产品提供的服务。将来，我们只会启用加密通信。这样，新的响应式Web访问将仅通过加密的HTTPS连接提供。如果MailStore Server用户尝试通过HTTP访问未加密的Web Access，他们也会收到通知。但是，过去在Service Provider Edition中也无法进行未加密的访问。

我们将在以下有关MailStore Server（https://help.mailstore.com/en/server/Using_Your_Own_SSL_Certificate）和MailStore的文章中解释如何将安装期间在两个产品中创建的自签名证书替换为您自己的，值得信赖的证书。服务提供商版（https://help.mailstore.com/en/spe/Replace_Self-signed_SSL_Certificates和https://help.mailstore.com/en/spe/Working_with_SSL_Certificates）。