메일 서버에 SSL 인증서 적용

윈도우 서버에 등록되어 있는 서버 인증서를 사용해 메일캐리어 SMTP/POP3/IMAP 서비스도 SSL/TLS 연결을 지원할 수 있습니다.

메일캐리어는 SSL 통신을 위해 OpenSSL 라이브러리를 사용하므로 윈도우 서버에 저장되어 있는 인증서를 바로 사용할 수 없습니다. 인증서를 OpenSSL에서 사용할 수 있는 PEM 파일로 변경한 후 적용할 수 있습니다.

PFX 파일 생성

인증서 관리자를 사용해 등록되어 있는 SSL 인증서로부터 pfx 파일을 생성합니다.

  • 인증서 관리자(certlm.msc)를 실행합니다.

  • 왼쪽 트리에서 [웹 호스팅 > 인증서]를 선택합니다.

  • 인증서 목록에서 내보내기할 인증서를 선택합니다.

  • 작업 메뉴에서 내보내기...을 선택합니다.

  • 인증서 내보내기 마법사

    1. [예, 개인 키를 내보냅니다]를 선택합니다.

    2. [개인 정보 교환 - PKCS #12(.PFX)]를 선택합니다. [가능한 경우 인증 경로에 있는 인증서 모두 포함/인증서 개인 정보 사용] 옵션을 선택합니다.

    3. 암호를 설정합니다.

    4. 파일 이름 설정한 후 저장합니다(여기서는 예제로 MyCert.pfx로 저장합니다).

PEM 파일 생성

내보내기한 pfx 파일을 OpenSSL에서 사용할 수 있는 pem 파일로 변경하는 작업이 필요합니다.

pfx 파일을 메일캐리어 설치 폴더 아래에 존재하는 Cert 폴더에 복사합니다. 명령창을 연 후 메일캐리어 설치 폴더로 이동 한 후 아래 명령을 실행합니다. 암호는 pfx 내보내기 시 지정한 암호를 입력합니다.

명령 프롬프트
C:\Program Files\TABS\MailCarrier\7.0>openssl pkcs12 -in cert\MyCert.pfx -out cert\MyCert.pem -nodes
Enter Import Password:****
MAC verified OK

Diffie-Hellman 키 파일 생성

SSL 통신 시 암호화 복잡도를 높이는데 사용되는 키를 생성합니다.

메일캐리어 설치 과정에서 해당 파일은 자동 생생됩니다. 파일이 생성되지 않았거나 재생성이 필요할 경우 아래 openssl 명령을 사용해 Diffie-Hellman 키 파일(2048비트)을 생성합니다.

명령 프롬프트
C:\Program Files\TABS\MailCarrier\7.0>openssl dhparam -out cert\dh2048.pem 2048

메일캐리어에 적용

메일캐리어 관리 도구를 실행시킨 후 [메일 서버/메일 수신 서버/Smtp수신1]을 선택한 후 [속성] 대화상자를 실행시킵니다.

대화상자에서 [보안 통신(SSL)] 탭을 선택합니다.

[서버 인증서 파일(.pem)]에 이전 단계에서 생성한 MyCert.pem을 입력합니다.

[보안 통신(SSL)을 사용합니다]를 선택한 후 확인 버튼을 클릭합니다.

POP3/IMAP 서버의 경우도 동일하게 작업합니다.

  Note

보안 통신(SSL) 기능은 설정 후 SMTP/POP3/IMAP 서비스를 다시 시작시켜야 적용됩니다. POP3 서버에 SSL을 적용할 경우 995번 포트를 수신하며 IMAP 서버에 SSL을 적용할 경우 993번 포트를 수신합니다. 995/993 포트는 SSL 전용 포트로 방화벽에서 해당 포트를 개방해야 외부에서 접속할 수 있습니다. SSL 통신만을 사용하도록 강제하고 싶다면 110/143 포트는 닫고 995/993 포트만 개방하도록 합니다(권장 사항).

만약 메일 클라이언트 프로그램이 POP3 STLS/IMAP STARTTLS 명령(일반 통신과 보안 통신을 전환할 수 있는 명령)을 지원한다면 995/993 포트 개방없이 기존 110/143 포트를 기반으로 SSL 통신을 이용할 수 있습니다.

갱신된 인증서 적용

SSL 인증서는 만료 기한이 있으며 만료된 인증서는 사용할 수 없습니다.

IIS에서 갱신된 인증서가 있다면 해당 인증서를 메일캐리어에 재등록해야 SSL 통신이 가능합니다.

갱신된 인증서에 대해 pem 파일을 생성해 Cert 폴더에 저장합니다. 현재 사용 중인 pem 파일에 덮어쓰기 합니다.

메일캐리어 SMTP/POP3/IMAP 서비스를 재시작시키면 갱신된 인증서가 적용됩니다.