Инфраструктура открытых ключей (PKI)
Обычные («классические») методы криптографии используют блоки данных, называемых «секретные ключи». Информация, зашифрованная с использованием «секретных ключей» может быть расшифрована любым, кто знает метод шифрования и владеет «секретным ключом». Такой тип криптографии называется симметричной криптографией.
Альтернативные методы криптографии базируются на использовании пары ключей — «закрытого ключа» и «открытого ключа». Эти ключи должны создаваться вместе, с использованием специальных алгоритмов. Информация, зашифрованная «закрытым ключом», может быть расшифрована любым, кто знает соответствующий «открытый ключ», а любая информация, зашифрованная «открытым ключом», может быть расшифрована только с использованием соответствующего «закрытого ключа».
Инфраструктура открытых ключей (Public Key Infrastructure, PKI) является технологией, основывающейся на такой асимметричной криптографии.
Технология PKI
Закрытый ключ (Private key)
Блок данных (большое двоичное число), созданное с использованием алгоритмов PKI. Каждый из сторон, осуществляющих передачу информации безопасным образом, должна хранить свой закрытый ключ так, чтобы исключить к нему доступ посторонних. Этот ключ никогда не должен передаваться между сторонами, осуществляющими обмен информацией.
Открытый ключ (Public key)
Блок данных (большое двоичное число), созданный вместе с закрытым ключом. Каждая сторона, осуществляющая безопасные коммуникации, может и должна публично распространять свой открытый ключ. Изначально предполагается, что открытый ключ известен всем, в том числе и злоумышленникам. открытые ключи обычно распространяются в виде сертификатов.
Дайджест данных (Data digest)
Относительно небольшой блок данных, вычисленный с применением к оригинальному блоку данных (обычно большего размера) специальных дайджест-функций (хэш-функций).
Подпись данных (Data signature)
Дайджест блока данных, зашифрованный с использованием закрытого ключа подписывающего.
Подписанные данные (Signed data)
Блок данных, к которому прилагается подпись этого блока. Сторона, получающая подписанные данные, используя открытый ключ подписывающего может расшифровать подпись и, сравнив получившийся дайджест данных с дайджестом данных, вычисленным самостоятельно, может убедиться, что блок данных не был изменён в процессе передачи.
Сертификат (Certificate)
Блок данных, содержащий имя владельца сертификата (называемом так же темой сертификата), открытый ключ владельца, имя издателя сертификата, серийный номер сертификата и некоторые дополнительные элементы данных. Такой блок данных подписывается издателем сертификата.
Сертификаты играют роль цифровых идентификационных карт (удостоверений).
Издатель (Issuer)
Сторона, которая выпускает сертификаты для третьих лиц, подписывая их своим закрытым ключом издателя. Издатели так же называются центрами сертификации (удостоверяющими центрами). Каждый сертификат, созданный определённым издателем, имеет уникальный серийный номер.
Доверенные центры сертификации (Trusted authorities)
Список, индивидуально ведущийся стороной, обменивающейся информацией. Каждый элемент списка содержит имя «доверенного центра сертификации» и его открытый ключ.
Когда сторона получает любой сертификат, она может проверить, включён ли издатель в список «доверенных центров сертификации» и с помощью открытого ключа этого «доверенного центра сертификации» проверить подпись сертификата.
Современные операционные системы позволяют пользователям безопасно вести базу данных доверенных центров сертификации.
Корневые центры сертификации (Root authorities)
Повсеместно признаваемые центры сертификации. Большинство современных операционных систем по умолчанию содержат несколько корневых центров сертификации в базе данных доверенных центров сертификации, что делает эти корневые центры сертификации доверенными для всех пользователей этого компьютера, работающих в этой операционной системе.
Цепочка сертификаций (Authority chain)
Набор Издателей сертификата для определённого сертификата.
Некоторый центр X может не быть широко распространён как «доверенный», но его собственный сертификат может быть выпущен более широко признаваемым центром Y. В этом случае, сертификаты, выпущенные X, не будут признаваться, но если эти сертификаты посланы вместе с собственным сертификатом центра X, выпущенным центром Y, то эти сертификаты могут быть признаны всем сторонами, которые доверяют центру Y.
Само-подписанный сертификат (Self-signed certificate)
Сертификат, выпущенный стороной самой для себя. Тема и издатель такого сертификата совпадают. Само-подписанный сертификат содержит открытый ключ стороны и подписан закрытым ключом этой же стороны.
Само-подписанные сертификаты могут быть доверенными только если другие стороны явно включили их в свои списки «доверенных центров сертификации».
Многостороннее шифрование (Multiparty encryption)
Метод шифрования, используемый для отправки данных нескольким сторонам с известными сертификатами. Зашифрованные один раз сообщения могут быть независимо от других сторон расшифрованы любой стороной, которая обладает закрытым ключом, соответствующий одному из сертификатов, используемых при шифровании.
Установки PKI домена
В каждом домене CommuniGate Pro есть свои собственные установки PKI. Они включают в себя закрытый ключ, связанный с доменом, и сертификаты, содержащие открытый ключ.
Для изменения установок PKI для какого-либо домена, откройте через веб-интерфейс администратора страницу «установки домена» и нажмите на ссылку «безопасность». Появится страница с настройками PKI:
Эта опция позволяет вам выбрать режим PKI для этого домена:
Выключено
Если указана эта опция, то функции PKI для этого домена выключены. Если указана эта опция, то все другие установки PKI домена игнорируются.
Test
Если указана эта опция, то для этого домена будут использоваться общий для сервера тестовый закрытый ключ и тестовый сертификат. Если эта опция указана, то вы не должны указывать другие установки PKI-домена. Используйте этот режим только для тестовых целей.
Общий для сервера тестовый сертификат содержит в поле тема имя главного домена и AO SBK в поле издатель. Этот сертификат действителен в течение 30 дней с момента последнего перезапуска сервера.
Включено
Если эта опция выбрана, активируются все другие установки PKI домена.
Назначение закрытого ключа
Первоначально домены CommuniGate Pro не имеют закрытых ключей. Вы должны ввести размер ключа и нажать на кнопку «сгенерировать ключ» для создания случайного закрытого ключа и назначения его этому домену.
Обратите внимание: в зависимости от платформы, на которой работает сервер, может потребоваться несколько секунд для создания 2048-битового ключа.
Только после назначения закрытого ключа на странице безопасность появятся поля, связанные с сертификатами.
Чтобы создать закрытый ключ, вы можете использовать программы сторонних производителей (такие, как OpenSSL). Вы должны указать такой программе вывести закрытый ключ в PEM-формате (как показано ниже).
Выберите пункт «импортировать в меню размер ключа» и нажмите на кнопку «сгенерировать ключ». Появится текстовое поле. Скопируйте закрытый ключ в PEM-формате (или в формате RSA или PKCS#8) в это текстовое поле, и нажмите на кнопку «сгенерировать ключ»:
Обратите внимание: убедитесь, что импортируемый ключ не зашифрован паролем. Текст, первые строки в котором имеют примерно такой вид:
-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTEDDEK-Info: DES-CBC,90C96A721C4E4B0BGzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx.................
свидетельствует, что закрытый ключ зашифрован и не может быть импортирован на сервер.
Если закрытый ключ установлен корректно и этот ключ может использоваться для асимметричной криптографии, вы увидите следующую панель:
Если в поле тест ключа содержится указание на ошибку, импортируемый закрытый ключ не может использоваться в асимметричной криптографии.
Используйте кнопку удалить ключи и сертификат, чтобы удалить введённый закрытый ключ домена. Так как сертификат домена может использоваться совместно с одним и только одним закрытым ключом, то он станет бесполезным, когда вы удалите закрытый ключ; таким образом существующий сертификат домена также будет удалён.
Назначение сертификата
Для поддержи функций инфраструктуры открытых ключей, домен должен иметь сертификат.
Имя сертификата домена (часть имени-идентификатора поля тема сертификата) должно соответствовать имени домена, используемого клиентскими приложениями.
Если домен CommuniGate Pro имеет псевдонимы домена, попытки соединения с сервером с использованием псевдонима домена приведут к появлению предупреждения на компьютере клиента, уведомляющего пользователя о несоответствии в именах. Так как сертификат может содержать только одно имя, выбирайте имя (реальное имя домена или один из псевдонимов домена), которое будут использовать ваши пользователи в своих клиентских приложениях. Если имя вашего домена CommuniGate Pro company.dom и это имя домена не имеет A-записи в DNS, но домен имеет псевдоним mail.company.dom, который, в свою очередь, имеет A-запись в DNS, указывающую на сервер CommuniGate Pro, то ваши пользователи будут использовать имя mail.company.dom в настройках своих клиентских приложений и в URL веб-интерфейса пользователя, так что сертификат домена должен быть выпущен на имя mail.company.dom, а не на company.dom.
Вы так же можете использовать «шаблон подстановки» имён домена для ваших сертификатов. Если имя домена имеет минимум 2 компоненты, то меню имя-идентификатор будет содержать «шаблон подстановки» имени домена: первая компонента имени домена будет заменена символом звёздочка (*). Если имя домена состоит из только двух компонент, то компонент звёздочка будет добавлен для формирования трехкомпонентного имени.
Для создания сертификата, заполните все поля в таблице атрибутов сертификата:
Имя-идентификатор
Когда сертификат посылается клиентскому приложению, приложение проверяет соответствие имени-идентификатора сертификата с именем, указанным пользователем в URL и / или в настройках почтовой программы.
Контакт
Это поле должно содержать корректный адрес электронной почты; этот адрес не обязательно должен быть в домене CommuniGate Pro.
Все другие поля являются необязательными для заполнения.
Чтобы получить сертификат из внешнего источника, (из «доверенного центра сертификации»), нажмите кнопку «создать запрос на подписание». Появится текстовое поле, содержащее CSR (запрос на подписание сертификата) в PEM-формате:
Скопируйте текст CSR и передайте его в выбранный вами центр сертификации (CA). Вы можете передать его по электронной почте или через специальную веб-форму на сайте CA. Центр сертификации должен вернуть вам подписанный сертификат в PEM-формате. Введите сертификат в поле внизу и нажмите кнопку «установить сертификат».
Если сертификат принимается, то отображается информация о нём:
Панель с информацией о сертификате показывает имя издателя сертификата (центра сертификации), тему сертификата (данные, которые вы ввели и имя домена), серийный номер сертификата и срок его действия.
Обратите внимание: введённый закрытый ключ будет использоваться для безопасного обмена информацией ТОЛЬКО при условии, что опция «услуги PKI криптографии» имеет значение «включено».
Обратите внимание: в сертификате в данных «темы» содержится имя домена или псевдонима домена.
Когда вы переименовываете домен в CommuniGate Pro, имя домена в сертификате домена не изменяется, и клиентские приложения могут начать предупреждать пользователей о несоответствии в имени.
Чтобы удалить сертификат домена, нажмите на кнопку «удалить сертификат».
Назначение цепочки сертификации
Если издатель сертификата известен программному обеспечению пользователя (почтовым программам и браузерам), то, когда клиент получает от сервера сертификат, предупреждающее сообщение на экране пользователя не появляется. Во многих случаях, «доверенный центр сертификации» не выпускает сертификаты самостоятельно. Вместо этого он делегирует право выпускать сертификату какому-нибудь третьему центру сертификации (удостоверяющему центру). Когда ваш сервер использует сертификат, выданный таким центром сертификации, сервер так же должен предоставлять сертификат этого центра сертификации, выданный «доверенным центром сертификации». Программное обеспечение клиента проверит сначала ваш сертификат, обнаружит, что эмитент вашего сертификата не является «доверенным центром сертификации», и затем проверит дополнительный сертификат(ы), которые предоставил сервер. Если такой дополнительный сертификат выпущен «доверенным центром сертификации» и он подтверждает эмитента вашего сертификата домена, то ваш сертификат принимается без предупреждений.
Когда вы получаете сертификат из центра сертификации, который не указан в списке «доверенных центров сертификации» в клиентском программном обеспечении, то этот промежуточный центр сертификации так же должен предоставить вам свой собственный сертификат, подписанный «доверенным центром сертификации». Этот сертификат должен быть в таком же pem-формате, как и ваш сертификат домена:
Цепочка центров сертификации (удостоверяющих центров) может включать несколько сертификатов: первый удостоверяет эмитента сертификата домена, который вы ввели, но сам может быть выпущен некоторым промежуточным центром сертификации. Следующий сертификат удостоверяет этот промежуточный центр сертификации, и так далее. Последний сертификат в цепочке должен быть выдан каким-нибудь центром сертификации, «известным» клиентскому программному обеспечению — обычно, каким-нибудь корневым центром сертификации.
Если ваша цепочка центров сертификации содержит несколько отдельных сертификатов в pem-формате, введите их всех в поле цепочка сертификации (необязательно). Сертификат, выданный корневым центром сертификации, должен быть последним в списке.
Нажмите на кнопку «установить цепочку» для назначения домену цепочки сертификации. Если все сертификаты в цепочке имеют правильный формат и успешно декодированы, то показывается список цепочки сертификации:
Обратите внимание: CommuniGate Pro проверяет только формат каждого сертификата в цепочке. Он не проверяет, например, что каждый сертификат действительно удостоверяет эмитента предыдущего сертификата, или что последний сертификат выдан корневым центром сертификации.
После того, как цепочка сертификации установлена, она отправляется клиентам вместе с сертификатом домена.
Нажмите на кнопку «удалить цепочку» для удаления цепочки сертификации из установок безопасности домена.
Использование само-подписанных сертификатов
Если вы не хотите использовать внешний центр сертификации, то вы можете создать само-подписанный сертификат.
Нажмите на кнопку «создать само-подписанный» и сервер CommuniGate Pro создаст для вас само-подписанный сертификат: издателем будет то лицо, которое вы указали, и сертификат будет подписан закрытым ключом домена. Если домен имеет само-подписанный сертификат, клиентские приложения будут предупреждать пользователя, что используемый сервер представил сертификат, «выпущенный неизвестным центром». Пользователи могут «установить» самоподписанные сертификаты, чтобы избежать появления этих предупреждений.
Когда клиентское приложение получает сертификат и его издатель не включён в их список доверенных центров сертификации, приложение может показывать предупреждения или отказаться принять сертификат.
Ваши пользователи могут «установить» ваш сертификат домена в свои списки доверенных центров сертификации. После установки сертификат становится «доверенным». Для некоторых программ (такие, как mac-версии microsoft outlook и outlook express), установка «недоверенного» сертификата является единственным способом использования этого сертификата для безопасного обмена информацией.
Для установки сертификата домена, пользователь должен использовать браузер и открыть через веб-интерфейс пользователя для требуемого домена страницу входа. Если в домене включены сертификаты, то появится ссылка на сертификат безопасности. Пользователь должен перейти по этой ссылке для загрузки сертификата домена и «открыть» его. Браузер должен позволить пользователю проверить сертификат и установить его в список доверенных центров сертификации.
Если в домене есть само-подписанный сертификат, то на странице веб-администрирования появляется кнопка «обновить само-подписанный». Нажмите на эту кнопку, чтобы создать новый само-подписанный сертификат с тем же самым серийным номером, но с новым сроком действия.
Доверенные корневые сертификаты
Сервер CommuniGate Pro может проверять действительность сертификатов, которые ему предоставляют. Например, веб-интерфейс пользователя проверяет сертификаты, когда показывает подписанные сообщения.
Сертификат считается действительным, если:
он совпадает с одним из доверенных сертификатов, или
он выдан одним из обладателей доверенных сертификатов.
Есть несколько наборов доверенных сертификатов:
встроенные доверенные сертификаты: эти сертификаты устанавливаются вместе с сервером CommuniGate Pro и обновляются вместе с обновлением сервера;
общесерверные и общекластерные доверенные сертификаты;
общие для домена доверенные сертификаты.
Когда выполняется любая PKI-операция для какого-нибудь домена (или для определённого пользователя в этом домене), проверяются следующие доверенные сертификаты:
доверенные сертификаты домена;
общекластерные доверенные сертификаты, если домен обслуживается в кластере и общесерверные доверенные сертификаты, если домен не обслуживается в кластере;
встроенные доверенные сертификаты.
Когда PKI-операция выполняется для нужд самой системы (например, при установке исходящего TLS-соединения), проверяются следующие доверенные сертификаты:
общесерверные доверенные сертификаты;
общекластерные доверенные сертификаты;
встроенные доверенные сертификаты.
Используйте веб-интерфейс администратора для обновления общсерверных и общекластерных доверенных сертификатов. Откройте страницу «безопасность» в разделе «пользователи». Откроется страница доверенные сертификаты:
Включённые в показываемый список доверенные сертификаты имеют слева кнопку-флажок. Для удаление выбранных сертификатов, отметьте флажок и нажмите кнопку «удалить помеченные».
В дополнение к показанным сертификатам, общие для домена страницы показывают встроенные доверенные сертификаты и общесерверные доверенные сертификаты (или общекластерные для распределенных доменов).
Общесерверные и общекластерные страницы с доверенными сертификатами показывают встроенные доверенные сертификаты.
Рядом с этими дополнительными сертификатами нет кнопки-флажка.
Чтобы добавить сертификат, введите данные сертификата в PEM-формате в текстовое поле и нажмите кнопку «установить сертификат». В показываемом списке должен появиться новый сертификат.
Безопасные соединения SSL/TLS
TLS (Безопасность уровня транспорта) протокол — это PKI-приложение, используемое для обеспечения безопасности и целостности данных, передаваемых между сторонами в процессе осуществления коммуникации. Стороны используют PKI-шифрование для безопасного обмена данными, являющимися «секретными ключами», а затем все данные, передаваемые между сторонами, шифруются с использованием этих «секретных ключей». Более ранняя версия TLS-протокола называлась SSL-протокол (протокол безопасных соединений).
Сервер CommuniGate Pro поддерживает SSL/TLS-соединения для всех сервисов и модулей, использующих TCP. Безопасные соединения могут устанавливаться двумя способами:
Клиентское приложение использует специальный порт для соединения с сервером и начинает устанавливать TLS (зашифрованное) соединение сразу после установления TCP-соединения на этот порт. Этот метод используется всеми браузерами, при задании URL вида https://.
Этот метод используется также, когда в SIP-клиенте активирована опция «TLS-транспорт».
Некоторые почтовые клиенты используют её для POP, IMAP, LDAP и (редко) SMTP-соединений.
Для поддержки таких клиентов, настройте приёмники для HTTP, SIP, POP, IMAP, SMTP и LDAP-модулей: приёмники должны принимать TCP-соединения на специальные порты (смотрите правильные безопасные номера портов в описаниях модулей) и опция «начальный SSL/TLS» должна быть включена для этих портов.Клиентское приложение использует стандартный порт для связи с сервером, и затем передаёт специальную команду (обычно называемую STARTTLS или STLS) через установленное незащищенное TCP-соединение. Когда сервер получает такую команду он начинает устанавливать безопасное соединение. Для поддержки таких клиентов вы не должны настраивать дополнительные порты в модуле «приёмники».
Обычно сертификаты для SSL/TLS-коммуникаций могут быть назначены только для таких доменов CommuniGate Pro, которые имеют минимум один назначенный сетевой (IP) адрес. Это ограничение происходит из-за дизайна TLS-протокола, используемого сегодня: когда клиентское приложение хочет инициировать безопасное соединение, у сервера нет информации о домене, с которым хочет соединиться клиент. Сервер знает только, на какой местный IP-адрес обратился клиент, и поэтому он открывает тот домен, которому назначен этот IP-адрес, и использует PKI-установки именно этого домена.
Исключением из этого правила является XMPP-протокол. До того, как XMPP клиент посылает команду «starttls», он явно указывает имя требуемого домена в данных <stream>, и таким образом, сервер может инициировать TLS-сессию с доменом, который не имеет назначенного сетевого адреса.
Чтобы настроить общесерверные параметры работы с SSL/TLS, используйте веб-интерфейс администратора. Откройте в области «установки» страницу «общее», затем откройте страницу «прочее»:
Уровень журнала
Используйте эту настройку, чтобы указать какую информацию модуль TLS должен сохранять в журнале работы сервера. Записи, помещённые модулем TLS в журнал работы сервера, имеют пометку TLS.
Время жизни
Эта настройка указывает время кэширования TLS-сессий. Когда все соединения, использующие TLS-сессию, закрываются, сервер будет ждать указанное время до удаления параметров TLS-сессии. Эта возможность позволяет клиентам устанавливать новые соединения, возобновляя старые TLS-сессии. Это уменьшает время создания соединений и снижает загрузку сервером центрального процессора. Эта возможность особенно важна для HTTP-клиентов, открывающих и закрывающих соединения очень часто.
Mинимальная версия
Эта установка задаёт самую старую допустимую версию протокола SSL/TLS. Если удалённая сторона указывает поддержку версии SSL/TLS старее, чем указано в этой установке, то попытка создания безопасного соединения отвергается.
Этот параметр действует только на входящие соединения.
Обрабатывать имя адресуемого домена
Если эта установка включена, сервер поддерживает расширение протокола TLS, которое позволяет клиентам указываеть имя домена сервера, к которому они подсоединяются. Это свойство позволяет обслуживать несколько доменов с использованием TLS, используя единственный сетевой адрес IP.
CBC шифрования для старых TLS
Выберите эту настройку, если вы хотите поддерживать методы шифрования CBC с SSL 3.0 и TLS 1.0. Методы шифрования CBC всегда поддерживаются для пакетных протоколов (DTLS).
Слабые шифрования
Выберите эту настройку, если вы хотите поддерживать слабую (менее чем 128-битную) безопасность (методы кодирования). Также должна быть включена установка поддержки методов шифрования CBC .
Принимать SSLv2 'hello'
Если включена эта установка, сервер принимает начальные запросы в стиле протокола SSL 2.0, используемые многими старыми клиентами.
Обратите внимание: даже когда эта установка включена, для самого соединения используется протокол SSL 3.0 или TLS, протокол SSL 2.0 для соединения не используется. Нет разумной причины выключать эту настройку — разве только для прохождения «тестов на безопасность».
Отсоединяться получив неверный сертификат
Если сервер потребовал от клиента предоставления сертификата, то клиент может отправить некорректный сертификат: просроченный, выданный другому пользователю и т.д.
Если включена это опция, то процесс установления TLS-соединения будет прерываться. Если эта опция выключена, то некорректные сертификаты игнорируются.
Сертификаты клиентов
Сервер CommuniGate Pro может затребовать сертификат клиента в случаях, когда внешний клиент (почтовая программа, браузер или устройство для коммуникаций в реальном времени) устанавливает TLS-соединение с определённым доменом.
Через веб-интерфейс администратора откройте страницу «установки домена» для этого домена и нажмите на ссылку «безопасность». Появится страница с настройками PKI:
Кем выдан
Выберите один из доверенных сертификатов, указанных для этого домена.
Когда доверенный сертификат выбран, то от TLS-клиента, устанавливающего соединение с этим доменом, будет потребовано предоставление действительного сертификата, выпущенного владельцем выбранного доверенного сертификата. Эти сертификаты могут использоваться для аутентификации по сертификату.
Обязателен
Если указана эта опция, то TLS-соединения с доменом смогут устанавливать только клиенты, предоставляющие действительные сертификаты.
Сервер CommuniGate Pro обрабатывает запросы на клиентские сертификаты при установлении соединений TLS с внешними серверами (по протоколам SMTP, XMPP, SIP, POP и другим). В качестве клиентского при этом отправляется сертификат TLS, установленный в главном домене.
Функциональность S/MIME
S/MIME — это PKI-приложение, используемое для цифровой подписи, а также шифрования почтовых и других сообщений. Если TLS обеспечивает безопасность данных в момент пересылки по незащищённой сети, такой как интернет, то S/MIME обеспечивает безопасность данных между конечными пользователями: S/MIME сообщение шифруется отправителем (с использованием многостороннего шифрования) и передаётся на сервер отправителя в зашифрованной форме. Та же зашифрованная форма используется, когда сообщение передаётся через сеть, когда оно хранится на промежуточных серверах, и когда оно помещается в папки получателей. Только получатели, используя свои закрытые ключи, могут расшифровать сообщение и только в тот момент, когда они фактически читают сообщение: само сообщение остаётся зашифрованным в папках получателей.
Чтобы конечные пользователи могли использовать S/MIME безопасность, все они должны обладать своими собственными PKI-ключами. Каждый пользователь должен иметь закрытый ключ, безопасно хранящийся в месте, доступном только для этого пользователя, и соответствующий ему открытый ключ, встроенный в сертификат. Этот сертификат должен быть выдан центром сертификации (удостоверяющим центром), которому доверяют другие пользователи.
Веб-интерфейс пользователя и XIMSS-интерфейс CommuniGate Pro поддерживают функциональность S/MIME. Сервер обеспечивает безопасное хранение закрытых ключей пользователей. Эти ключи могут быть разблокированы и использованы исключительно самими пользователями через указанные интерфейсы.
Чтобы использовать обычное клиентское приложение на компьютере пользователя (POP, IMAP, или MAPI-клиент), закрытый ключ пользователя должен храниться в специальном PKI-хранилище операционной системы компьютера.
Веб-интерфейс пользователя и XIMSS-интерфейс могут экспортировать и импортировать закрытые ключи, так что пользователи могут использовать один и тот же закрытый ключ как для приложений, запущенных на своём компьютере, так и при работе через интерфейсы. Дополнительную информацию смотрите в разделе «безопасная почта».
Установки S/MIME домена
В сервере CommuniGate Pro используется сертификат сервера, выдающий сертификаты пользователям.
Домен CommuniGate Pro может выступать как центр сертификации (Удостоверяющий Центр) для всех его пользователей, если:
Опция услуги PKI-криптографии включена.
Домен имеет действительный закрытый ключ.
Домен имеет действительный специальные S/MIME-сертификат.
Чтобы задать S/MIME-установки домена, используйте веб-интерфейс администратора и откройте страницы «установки домена». Откройте страницу «безопасность» и нажмите на ссылку «S/MIME». Если домен имеет действительный закрытый ключ, то показывается страница, подобная той, что показывается при работе с обычным доменным сертификатом. Эти поля используются для ввода специального S/MIME-сертификата домена. Этот сертификат используется как издатель (центр сертификации) для всех S/MIME-сертификатов, запрашиваемых пользователями в этом домене.
Автоматическое шифрование S/MIME
Возможности S/MIME могут быть использованы для безопасного хранения сообщений. CommuniGate Pro может зашифровывать все или только определённые сообщения до сохранения их в папках пользователей.
Действие «записать зашифровано в», задаваемое в правилах, используется для шифрования всех входящих сообщений электронной почты и хранения их в указанной папке.
Сообщения шифруются S/MIME-сертификатом владельца папки. Если действие «записать зашифровано в», заданное в правилах, используется в правиле уровня пользователя (то есть правила, заданного пользователем или правила, общего для домена), и указанная папка не принадлежит пользователю, сообщение шифруется при помощи сертификата владельца папки и текущего пользователя.
Пример:
Пользователь под именем john имеет правило, которое выполняет следующее действие:
Записать Зашифровано в ~jim/INBOX
Когда выполняется это действие, сообщение сохраняется зашифрованным с использованием обоих сертификатов john и jim в папке INBOX пользователя jim. И john, и jim смогут расшифровать и прочитать это сообщение.
Шифрование хранимых сообщений
После того, как пользователь CommuniGate Pro получил некие незашифрованные сообщения, он может предпочесть хранить их в папках на сервере зашифрованными. MAPI и XIMSS-клиенты, а также веб-интерфейс пользователя обеспечивают функции «зашифровать» и «расшифровать», которые позволяют пользователям зашифровывать и расшифровывать отдельные сообщения в своих папках.
Добавление DKKIM-подписи
DKIM (DomainKeys Identified Mail) — это метод аутентификации e-mail сообщений, основанный на добавлении к письму особого заголовка с цифровой подписью. Подпись создаётся методом шифрования на основе закрытого и открытого ключей. Принимающий сервер может использовать открытый ключ, чтобы проверить, что подпись соответствует закрытому ключу, и что тело письма и наиболее важные заголовки не были изменены в процессе пересылки.
Чтобы задать DKIM-установки домена, используйте веб-интерфейс администратора и откройте страницы установки домена. Откройте страницу «безопасность» и нажмите на ссылку «DKIM».
Чтобы включить добавление подписей к исходящим сообщениям, нужно выполнить следующие шаги:
Создать (или импортировать созданный внешней утилитой) закрытый ключ, подобно назначению закрытого ключа для домена.
После того, как закрытый ключ будет назначен, соответствующий открытый ключ будет показан.Задать значение для поля домен — это должно быть имя текущего домена, или имя соответствующего домена верхнего уровня.
Выбрать и задать значение поля селектор — произвольную строчку.
Создать DNS TXT запись для имени Selector._domainkey.Domain со значением «v=DKIM1; p=MIGfMA0GCSqG...» где значение «p=» — это ваш открытый ключ.
Используйте кнопку «проверить», чтобы убедиться, что DNS-запись существует и содержит правильный открытый ключ. Учтите, что для новосозданных DNS-записей требуется время, чтобы распространиться по всему миру.
После того, как все вышеперечисленные шаги завершены, переключите значение «включено» на «да»
Рекомендуется регулярно (приблизительно раз в 3 месяца) производить ротацию ключей, путём генерации нового закрытого ключа и создания новой DNS-записи с новым селектором.
Обратите внимание: DKIM-подписи составляются компонентой Enqueuer при постановке сообщения в очередь, но физически добавляются, когда сообщение сохраняется или отправляется.
Обратите внимание: в процессе составления DKIM-подписей принадлежность сообщения к домену определяется адресом в заголовке From: сообщения. Пользователь из другого домена может изменить адрес в From: так, что его письма будут подписываться согласно настройкам текущего домена. Также, сообщения, пересылаемые через CommuniGate сервер из внешних источников, могут быть подписаны текущим доменом, если их адреса в From: совпадают с именами объектов в текущем домене.