Kerio Connect 邮件服务器如何安装 SSL 证书？

本文属于「如何安装 SSL 证书」专题内容，查看更多相关内容： → SSL 证书完整安装教程

Kerio Connect 邮件服务器如何安装 SSL 证书？

必须为 Kerio Connect 邮件服务器安装有效 SSL 证书，否则 Outlook、Thunderbird、iOS 邮件客户端及 Webmail 将持续弹出“证书不受信任”或“连接不安全”警告。Kerio Connect 自 9.3 版本起强制要求 TLS 1.2+，且默认拒绝未签名或自签名证书的 SMTP/IMAP/HTTPS 访问。

该限制源于 CA/Browser Forum Baseline Requirements 第 11 版（2024 年生效），所有公开信任的证书签发机构均不再允许为邮件服务器颁发无组织验证（OV）信息的纯 DV 证书用于 SMTPS/IMAPS 端口。因此生产环境必须使用含组织名称的 OV 或 EV SSL 证书，并正确部署完整证书链。

技术背景：Kerio Connect 的 HTTPS 与邮件加密分离架构

Kerio Webmail 依赖独立 HTTPS 服务

Kerio Connect 的 Webmail 前端运行在内置 Apache 实例上，端口 443 默认绑定至 /opt/kerio/mailserver/ssl/ 下的 server.crt 与 server.key。该路径不支持 PEM 格式链式证书，必须将根证书 + 中间证书合并进 server.crt，否则 Chrome 会报 NET::ERR_CERT_AUTHORITY_INVALID。

SMTPS/IMAPS 使用单独证书存储区

邮件协议加密证书位于 /opt/kerio/mailserver/certs/，需通过 Kerio Admin Console → Configuration → Security → Certificates 手动导入 PFX（含私钥）或分别上传 CRT+KEY。注意：若使用 Let's Encrypt 免费证书，其证书链不含 DST Root CA X3（已于 2024 年 9 月过期），必须手动追加 ISRG Root X1 才能被 Kerio 识别为完整链。

SSL证书部署步骤（Kerio Connect 10.0+）

第一步：生成 CSR 时务必填写 Organization（O）、Organizational Unit（OU）字段——这是 Kerio 强制校验项；第二步：选择支持 SNI 的证书品牌（如 Sectigo 或 锐安信），避免使用已停用的 Symantec 根；第三步：导入后需重启 Kerio MailServer 服务（systemctl restart kerio-mailserver），而非仅重载配置。

真实运维经验：某金融客户曾因误将通配符证书 *.mail.example.com 用于 webmail.example.com，导致 iOS 邮件 App 拒绝连接。Kerio 对 SAN 域名匹配极为严格，不支持跨域通配，必须确保证书 Subject Alternative Name 完全覆盖实际访问域名。

常见兼容性问题与修复

常见问题

Q：Kerio Connect 支持国密 SM2 证书吗？ A：原生不支持。SM2 证书需搭配 OpenSSL 3.0+ 与国密中间件（如华测CA提供的 国密SSL证书）进行定制编译，目前仅部分政务客户通过 Kerio 二次开发实现。

Q：能否用 Let's Encrypt 免费证书？ A：可以，但必须使用 acme.sh + --fullchain-pem 参数导出完整链，并转换为 Kerio 要求的 PEM 格式。注意有效期仅 90 天，建议配置自动续期脚本。

Q：更换证书后 Outlook 客户端仍缓存旧证书怎么办？ A：清除 Windows 证书存储中的 Kerio 相关条目（certmgr.msc → 中间证书颁发机构），并重启 Outlook 进程。

相关知识链接

• 2013和2016版Exchange安装SSL证书步骤教程
• 华测SSL证书安装指南-Exchange 2013/2016证书安装教程
• Thunderbird邮箱导入S/MIME邮件证书教程
• 如何检查SSL证书是否仍然有效