您可以使用控制台启用 SSL 并选择 Messaging Server 可以在其与客户机的加密通信中使用的加密算法集。
加密算法是用于在加密进程中加密和解密数据的算法。某些加密算法比其他加密算法强大,这意味着经这些算法保密的邮件更难被未经授权的用户译出。
加密算法通过将密钥(一个长编号)应用到数据中来对数据进行操作。通常,加密过程中加密算法使用的密钥越长,没有正确的解秘密钥来解密数据则越难。
客户机用 Messaging Server 启动 SSL 连接时,客户机会让服务器了解客户机会将何种加密算法和密钥长度用于加密。在所有加密通信中,双方必须使用同一加密算法。因为有很多通用的加密算法和密钥组合,所以,服务器应当能够灵活地支持加密。Messaging Server 可支持至多 6 种加密算法和密钥长度的组合。
表 19–2 列出了 Messaging Server 支持的可与 SSL 3.0 配合使用的加密算法。有关此表中汇总的信息,可在 Managing Servers with iPlanet Console 中的 Introduction to SSL 一章中获得的更详细的介绍。
表 19–2 适用于 Messaging Server 的 SSL 加密算法
加密算法 |
说明 |
---|---|
带有 128 位加密和 MD5 邮件验证的 RC4 |
最快的加密算法(通过 RSA 实现)以及强度很高的加密算法和加密密钥的组合。 |
带有 168 位加密和 SHA 邮件验证的三重 DES |
一种较慢的加密算法(美国政府标准),但却是最强大的加密算法和加密密钥的组合。 |
带有 56 位加密和 SHA 邮件验证的 DES |
较慢的加密算法(美国政府标准)以及普通强度的加密算法和加密密钥组合。 |
带有 40 位加密和 MD5 邮件验证的 RC4 |
最快的加密算法(通过 RSA 实现)和较低强度的加密算法和加密密钥组合。 |
带有 40 位加密和 MD5 邮件验证的 RC2 |
较慢的加密算法(通过 RSA 实现)和较低强度的加密算法和加密密钥组合。 |
无加密,只有 MD5 邮件验证 |
无加密;仅使用用于验证的邮件摘要。 |
除非您具备不使用某个特定加密算法的令人信服的理由,否则应当支持所有加密算法。但是,请注意出口法律限制在某些国家/地区使用某些加密算法。同时,在美国出口控制法放宽之前,所生产的某些客户机软件不能使用较高强度的加密。请注意,虽然 40 位加密算法可以阻止偶尔窃听者,但这些算法并不安全,因此将不会阻止蓄意攻击。
要启用 SSL 并选择加密算法,请遵循以下命令行步骤:
要启用或禁用 SSL:
configutil -onsserversecurity -v [ on | off ]
要启用或禁用 RSA 加密算法:
configutil -oencryption.rsa.nssslactivation -v [ on | off ]
要指定一个标记:
configutil -o encryption.rsa.nsssltoken -v tokenname
要指定一个证书:
configutil -o encryption.rsa.nssslpersonalityssl -v certname
请注意,如果启用 RSA 加密算法,还必须指定一个标记和一个证书。
要选择加密算法首选项:
configutil -oencryption.nsssl3ciphers -v cipherlist
其中 cipherlist 是以逗号分隔的加密算法列表。
要能够对传出邮件进行 SSL 加密,则必须修改通道定义以使其包含 tls 通道关键字,例如 maytls、musttls 等。有关更多信息,请参见传输层安全性手册。