CommuniGate Pro
Версия 5.2
Администрирование
 
 
PKI

Инфраструктура Открытых Ключей (PKI)

Обычные ("классические") методы криптографии используют блоки данных, называемых "секретные ключи". Информация, зашифрованная с использованием "секретных ключей" может быть расшифрована любым, кто знает метод шифрования и владеет "секретным ключом". Такой тип криптографии называется симметричной криптографией.

Альтернативные методы криптографии базируются на использовании пары ключей - "закрытого ключа" и "открытого ключа". Эти ключи должны создаваться вместе, с использованием специальных алгоритмов. Информация, зашифрованная "закрытым ключом", может быть расшифрована любым, кто знает соответствующий "открытый ключ", а любая информация, зашифрованная "открытым ключом", может быть расшифрована только с использованием соответствующего "закрытого ключа".
Инфраструктура Открытых Ключей (Public Key Infrastructure, PKI) является технологией, основывающейся на такой ассиметричной криптографии.


Терминология PKI

Закрытый Ключ (Private Key)
Блок данных (большое двоичное число), созданное с использованием PKI алгоритмов. Каждый из сторон, осуществляющих передачу информации безопасным образом, должна хранить свой Закрытый Ключ так, что бы исключить к нему доступ посторонних. Этот ключ никогда не должен передаваться между сторонами, осуществляющими обмен информацией.
Открытый Ключ (Public Key)
Блок данных (большое двоичное число), созданное вместе с Закрытым Ключом. Каждый сторона, осуществляющая безопасные коммуникации, может и должна публично распространять свой Открытый Ключ. Изначально предполагается, что Открытый Ключ известен всем, в том числе и злоумышленникам. Открытые Ключи обычно распространяются в виде Сертификатов.
Дайджест Данных (Data Digest)
Относительно небольшой блок данных, вычисленный с применением к оригинальному блоку данных (обычно большего размера) специальных дайджест-функций (хэш-функций).
Подпись Данных (Data Signature)
Дайджест блока Данных, зашифрованный с использованием Закрытого Ключа Подписывающего.
Подписанные Данные (Signed Data)
Блок Данных, к которому прилагается Подпись этого блока. Сторона, получающая Подписанные Данные, используя Открытый Ключ Подписывающего может расшифровать Подпись и, сравнив получившийся Дайджест Данных с Дайджестом Данных, вычисленным самостоятельно, может убедиться, что блок данных не был изменен в процессе передачи.
Сертификат (Certificate)
Блок данных, содержащий имя владельца Сертификата (называемом так же Темой Сертификата), Открытый Ключ владельца, имя Эмитента Сертификата, Серийный Номер Сертификата и некоторые дополнительные элементы данных. Такой блок данных подписывается Эмитентом Сертификата.
Сертификаты играют роль Цифровых идентификационных карт (удостоверений).
Эмитент (Issuer)
Сторона, которая выпускает сертификаты для третьих лиц, подписывая их своим Закрытым Ключом Эмитента. Эмитенты так же называются Центрами Сертификации (Удостоверяющими Центрами). Каждый сертификат, созданный определённым Эмитентом, имеет уникальный серийный номер.
Доверенные Центры Сертификации (Trusted Authorities)
Список, индивидуально ведущийся стороной, обменивающейся информацией. Каждый элемент списка содержит имя "доверенного центра сертификации" и его Открытый Ключ.
Когда сторона получает любой Сертификат, она может проверить, включён ли Эмитент в список "доверенных центров сертификации" и с помощью Открытого Ключа этого "доверенного центра сертификации" проверить Подпись Сертификата.
Современные операционные системы позволяют пользователям безопасно вести базу данных Доверенных Центров Сертификации.
Корневые Центры Сертификации (Root Authorities)
Повсеместно признаваемые Центры Сертификации. Большинство современных операционных систем по умолчанию содержат несколько Корневых Центров Сертификации в базе данных Доверенных Центров Сертификации, что делает эти Корневые Центры Сертификации доверенными для всех пользователей этого компьютера, работающих в этой операционной системе.
Цепочка Сертификаций (Authority Chain)
Набор Эмитентов Сертификата для определённого Сертификата.
Некоторый Центр X может не быть широко распространён как "доверенный", но его собственный Сертификат может быть выпущен более широко признаваемым как доверенный Центром Y. В этом случае, Сертификаты, выпущенные X, не будут признаваться, но если эти Сертификаты посланы вместе с собственным Сертификатом Центра X, выпущенным Центром Y, то эти Сертификаты могут быть признаны всем сторонами, которые доверяют Центру Y.
Само-Подписанный Сертификат (Self-Signed Certificate)
Сертификат, выпущенный стороной самой для себя. Тема и Эмитент такого Сертификата совпадают. Само-Подписанный Сертификат содержит Открытый Ключ стороны и подписан Закрытым Ключом этой же стороны.
Само-Подписанные Сертификаты могут быть доверенными только если другие стороны явно включили их в свои списки "доверенных центров Сертификации".
Многостороннее Шифрование (Multiparty Encryption)
Метод шифрования, используемый для отправки данных нескольким сторонам с известными Сертификатами. Зашифрованные один раз сообщения могут быть независимо от других сторон расшифрованы любой стороной, которая обладает Закрытым Ключом, соответствующий одному из Сертификатов, используемых при шифровании.

PKI Установки Домена

Каждый Домен CommuniGate Pro имеет свои собственные PKI Установки. Они включают в себя Закрытый Ключ, связанный с Доменом и Сертификаты, содержащие Открытый Ключ.

Для изменения Установок PKI для какого-либо Домена, откройте через Веб Интерфейс Администратора страницу Установки Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:

Услуги PKI Криптографии

Эта опция позволяет вам выбрать используемый режим PKI для этого Домена:

Выключено
Если указана эта опция, то PKI функции для этого Домена выключены. Если указана эта опция, то все другие PKI Установки Домена игнорируются.
Test
Если указана эта опция, то для этого Домена будут использоваться Общий для Сервера Тестовый Закрытый Ключ и Тестовый Сертификат. Если эта опция указана, то вы не должны указывать другие PKI Установки Домена. Используйте этот режим только для тестовых целей.
Общий для Сервера Тестовый Сертификат содержит в поле Тема имя Главного Домена и CommuniGate Systems, Inc. в поле Эмитент. Этот Сертификат действителен в течении 30 дней с момента последнего перезапуска Сервера.
Включено
Если эта опция выбрана, активируются все другие PKI Установки Домена.

Назначение Закрытого Ключа

Первоначально Домены CommuniGate Pro не имеют назначенных Закрытых Ключей. Вы должны ввести размер ключа и нажать на кнопку Сгенерировать Ключ для создания случайного Закрытого Ключа и назначения его этому Домену.

Закрытый Ключ
Размер Ключа:  

Обратите внимание: в зависимости от платформы, на которой работает сервер, может потребоваться несколько секунд для создания 2048-битового Ключа.

Только после назначения Закрытого Ключа на странице Безопасность появятся поля, связанные с Сертификатами.

Для того, что бы сгенерировать Закрытый Ключ, вы можете использовать программы сторонних производителей (такие, как OpenSSL). Вы должны указать такой программе вывести Закрытый Ключ в PEM формате (как показано ниже).
Выберите пункт Импортировать в меню Размер Ключа и нажмите на кнопку Сгенерировать Ключ. Появится текстовое поле. Скопируйте зашифрованный Закрытый Ключ в PEM-формате (или в формате RSA или PKCS#8) в это текстовое поле, и нажмите на кнопку Сгенерировать Ключ:

Закрытый Ключ
Размер Ключа:  
Введите Закрытый Ключ (в PEM формате):

Обратите внимание: Убедитесь, что импортируемый ключ не зашифрован паролем. Текст, первые строки в котором имеют примерно такой вид:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-CBC,90C96A721C4E4B0B

GzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx
.................
свидетельствует, что Закрытый Ключ зашифрован и не может быть импортирован на Сервер.

Если Закрытый Ключ установлен корректно и этот Ключ может использоваться для ассиметричной криптографии, вы увидите следующую панель:

Закрытый Ключ
Размер:512 бит 
Тест Ключа:Verification String is OK

Если в поле Тест Ключа содержится указание на ошибку, импортируемый Закрытый Ключ не может использоваться в ассиметричной криптографии.

Используйте кнопку Удалить Ключи и Сертификат что бы удалить введённый Закрытый Ключ Домена. Так как Сертификат Домена может использоваться совместно с одним и только одним Закрытым Ключом, то он станет бесполезным, когда вы удалите Закрытый Ключ; таким образом существующий Сертификат Домена также будет удален.

Назначение Сертификата

Для поддержи функций Инфраструктуры Открытых Ключей, Домен должен иметь Сертификат.

Имя Сертификата Домена (часть Имени-Идентификатора поля Тема Сертификата) должно соответствовать имени домена, используемого клиентскими приложениями.
Если Домен CommuniGate Pro имеет Псевдонимы Домена, попытки соединения с Сервером с использованием Псевдонима Домена приведут к появлению предупреждения на компьютере клиента, уведомляющего пользователя о несоответствии в именах. Так как Сертификат может содержать только одно имя, выбирайте имя (реальное имя Домена или один из Псевдонимов Домена), которое будут использовать ваши пользователи в своих клиентских приложениях. Если имя вашего Домена CommuniGate Pro company.dom, и это имя домена не имеет A-записи в DNS, но Домен имеет псевдоним mail.company.dom, который, в свою очередь, имеет A-запись в DNS, указывающую на Сервер CommuniGate Pro, то ваши пользователи будут использовать имя mail.company.dom в настройках своих клиентских приложений и в URL Веб Интерфейса Пользователя, так что Сертификат Домена должен быть выпущен на имя mail.company.dom, а не на company.dom.

Вы так же можете использовать "шаблон подстановки" имен домена для ваших сертификатов. Если имя Домена имеет минимум 2 компоненты, то меню Имя-Идентификатор будет содержать "шаблон подстановки" имени Домена: первая компонента имени Домена будет заменена символом звёздочка (*). Если имя Домена состоит из только двух компонент, то компонент звёздочка будет добавлен для формирования трехкомпонентного имени.

Для создания Сертификата, заполните все поля в таблице Атрибутов Сертификата:

Генератор Сертификатов
Имя-Идентификатор:
Страна:
Область:
Город:
Организация:
Подразделение:
Контакт:
Имя-Идентификатор
Когда Сертификат посылается клиентскому приложению, приложение проверяет соответствие Имени-Идентификатора Сертификата с именем, указанным пользователем в URL и/или в настройках почтовой программы.
Контакт
Это поле должно содержать корректный адрес электронной почты; этот адрес не обязательно должен быть в Домене CommuniGate Pro.

Все другие поля являются необязательными для заполнения.

Для того, что бы получить Сертификат из внешнего источника, (из "доверенного центра сертификации"), нажмите кнопку "Создать Запрос на Подписание". Появиться текстовое поле, содержащее CSR (Запрос на Подписание Сертификата) в PEM-формате:

Генератор Сертификатов
Имя-Идентификатор:
Страна:
Область:
Город:
Организация:
Подразделение:
Контакт:
Введите Сертификат (в PEM формате)

передайте этот запрос Центру Сертификации (Удостоверяющему Центру) и вставьте их ответ ниже
Введите Сертификат (в PEM формате)

Скопируйте текст CSR и передайте его в выбранный вами Центр Сертификации (CA). Вы можете передать его по электронной почте или через специальную Веб форму на сайте CA. Центр Сертификации должен вернуть вам подписанный Сертификат в PEM-формате. Введите Сертификат в поле внизу и нажмите кнопку Установить Сертификат.

Если Сертификат принимается, то отображается информация о нём:

Сертификат Домена
Кому Выдан:
СтранаUS
ОбластьCA
ГородSausalito
ОрганизацияACME Yacht Rentals, Inc.
ПодразделениеOn-line Services
Имя-Идентификаторd1.communigate.com
Контактbill@domain.company
Кем Выдан:
СтранаUS
ОбластьCA
ГородSausalito
ОрганизацияACME Yacht Rentals, Inc.
ПодразделениеOn-line Services
Имя-Идентификаторd1.communigate.com
Контактbill@domain.company
Серийный Номер:
89AB673940123456
Действителен:
От Кого:06-Нов-07До:05-Нов-09
  

Панель с информацией о Сертификата показывает имя Эмитента Сертификата (Центра Сертификации), Тему Сертификата (данные, которые вы ввели и имя домена), серийный номер Сертификата и срок его действия.

Обратите внимание: введённый Закрытый Ключ будет использоваться для безопасного обмена информацией ТОЛЬКО при условии, что опция Услуги PKI Криптографии имеет значение Включено.

Обратите внимание: в Сертификате в данных "Темы" содержится имя Домена или Псевдонима Домена.
Когда вы переименовываете Домен в CommuniGate Pro, имя домена в Сертификате Домена не изменяется, и клиентские приложения могут начать предупреждать пользователей о несоответствии в имени.

Для того, что бы удалить Сертификат Домена, нажмите на кнопку Удалить Сертификат.

Назначение Цепочки Сертификации

Если Эмитент Сертификата известен программному обеспечению пользователя (почтовым программам и браузерам), то когда клиент получает от Сервера Сертификат, предупреждающее сообщение на экране пользователя не появляется. Во многих случаях, "Доверенный Центр Сертификации" не выпускает сертификаты самостоятельно. Вместо этого, он делегирует право выпускать сертификату какому-нибудь третьему Центру Сертификации (Удостоверяющему Центру). Когда ваш Сервер использует Сертификат, выданный таким Центром Сертификации, Сервер так же должен предоставлять Сертификат этого Центра Сертификации, выданный "Доверенным Центром Сертификации". Программное обеспечение клиента проверит сначала ваш Сертификат, обнаружит, что эмитент вашего Сертификата не является "Доверенным Центром Сертификации", и затем проверит дополнительный Сертификат(ы), которые предоставил Сервер. Если такой дополнительный Сертификат выпущен "Доверенным Центром Сертификации", и он подтверждает эмитента вашего Сертификата Домена, то ваш Сертификат принимается без предупреждений.

Когда вы получаете Сертификат из Центра Сертификации, который не указан в списке "Доверенных Центров Сертификации" в клиентском программном обеспечении, то этот промежуточный Центр Сертификации так же должен предоставить вам свой собственный Сертификат, подписанный "Доверенным Центром Сертификации". Этот Сертификат должен быть в таком же PEM-формате, как и ваш Сертификат Домена:

Цепочка Сертификации (Опционально)

Цепочка Центров Сертификации (Удостоверяющих Центров) может включать несколько сертификатов: первый удостоверяет эмитента Сертификата Домена, который вы ввели, но сам может быть выпущен некоторым промежуточным центром сертификации. Следующий Сертификат удостоверяет этот промежуточный Центр Сертификации, и так далее. Последний Сертификат в цепочке должен быть выдан каким-нибудь центром сертификации, "известным" клиентскому программному обеспечению - обычно, каким-нибудь Корневым Центром Сертификации.

Если ваша Цепочка Центров Сертификации содержит несколько отдельных Сертификатов в PEM-формате, введите их всех в поле Цепочка Сертификации (Опционально). Сертификат, выданный Корневым Центром Сертификации, должен быть последним в списке.

Нажмите на кнопку Установить Цепочку для назначения Домену Цепочки Сертификации. Если все Сертификаты в цепочке имеют правильный формат и успешно декодированы, то показывается список Цепочки Сертификации:

Цепочка Сертификации (опционально)
Кому Выдан:Кем Выдан:ОтДо
ОрганизацияVeriSign Trust Network
ПодразделениеVeriSign, Inc.
ПодразделениеVeriSign International Server CA - Class 3
Подразделениеwww.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
СтранаUS
ОрганизацияVeriSign, Inc.
ПодразделениеClass 3 Public Primary Certification Authority
17-Апр-97 08-Янв-04

Обратите внимание: CommuniGate Pro проверяет только формат каждого Сертификата в цепочке. Он не проверяет, например, что каждый Сертификат действительно удостоверяет эмитента предыдущего Сертификата, или что последний Сертификат выдан Корневым Центром Сертификации.

После того, как Цепочка Сертификации установлена, она отправляется клиентам вместе с Сертификатом Домена.

Нажмите на кнопку Удалить Цепочку для удаления Цепочки Сертификации из Установок Безопасности Домена.


Использование Само-Подписанных Сертификатов

Если вы не хотите использовать внешний Центр Сертификации, то вы можете создать Само-Подписанный Сертификат.
Нажмите на кнопку Создать Само-Подписанный и Сервер CommuniGate Pro создаст для вас Само-Подписанный Сертификат: Эмитентом будет то лицо, которое вы указали, и Сертификат будет подписан Закрытым Ключом Домена. Если Домен имеет Само-Подписанный Сертификат, клиентские приложения будут предупреждать пользователя, что используемый сервер представил сертификат, "выпущенный неизвестным центром". Пользователи могут
"установить" само-подписанные сертификаты для того, что бы избежать появления этих предупреждений.

Когда клиентское приложение получает Сертификат и его эмитент не включен в их список Доверенных Центров Сертификации, приложение может показывать предупреждения или отказаться принять Сертификат.

Ваши пользователи могут "установить" ваш Сертификат Домена в свои списки Доверенных Центров Сертификации. После установки, Сертификат становится "доверенным". Для некоторых программ (такие как Mac-версии Microsoft Outlook и Outlook Express), установка "недоверенного" Сертификата является единственным способом использования этого Сертификата для безопасного обмена информацией.

Для установки Сертификата Домена, пользователь должен использовать браузер и открыть через Веб Интерфейс Пользователя для требуемого Домена страницу входа. Если в Домене включены Сертификаты, то появиться ссылка на Сертификат Безопасности. Пользователь должен перейти по этой ссылке для загрузки Сертификата Домена и "открыть" его. Браузер должен позволить пользователю проверить Сертификат и установить его в список Доверенных Центров Сертификации.

Если Домен имеет Само-Подписанный Сертификат, то на странице Веб Администрирования появляется кнопка "Обновить Само-Подписанный". Нажмите на эту кнопку что создать новый Само-Подписанный Сертификат с тем же самым серийным номером, но с новым сроком действия.


Доверенные Корневые Сертификаты

Сервер CommuniGate Pro может проверять действительность Сертификатов, которые ему предоставляют. Например, Веб Интерфейс Пользователя проверяет Сертификаты, когда показывает подписанные сообщения.

Сертификат считается действительным, если:

Есть несколько наборов Доверенных Сертификатов:

Когда выполняется любая PKI-операция для какого-нибудь Домена (или для определённого Пользователя в этом Домене), проверяются следующие Доверенные Сертификаты:

Когда PKI-операция выполняется для нужд самой Системы (например, при установке исходящего TLS-соединения), проверяются следующие Доверенные Сертификаты:

Используйте Веб Интерфейс Администратора для обновления Общих для Сервера и Общих для Кластера Доверенных Сертификатов. Откройте страницу Безопасность в области Пользователи. Откроется страница Доверенные Сертификаты:

 Кому Выдан:Серийный НомерОтДо
RSA Data Security, Inc.02AD667E4E45FE5E576F3C98195EDDC0 09-Ноя-9408-Янв-10
Thawte Personal Freemail CA00 01-Янв-9601-Янв-21
Thawte Personal Basic CA00 01-Янв-9601-Янв-21
My Company CA010256FF 01-Янв-9601-Янв-21

Включённые в показываемый список Доверенные Сертификаты имеют имеют слева кнопку-флажок. Для удаление выбранных Сертификатов, отметьте флажок и нажмите кнопку Удалить Помеченные.

В дополнение к показанным Сертификатам, Общие для Домена страницы показывают встроенные Доверенные Сертификаты и Доверенные Сертификаты, являющиеся Общими для Сервера (или являющимися Общими для Кластера для Распределенных Доменов).
Общие для Сервера и Общие для Кластера страницы с Доверенными Сертификатами показывают встроенные Доверенные Сертификаты.
Рядом с этими дополнительными сертификатами нет кнопки-флажка.

Введите Сертификат (в PEM формате)


Для того, что бы добавить Сертификат, введите данные Сертификата в PEM-формате в текстовое поле и нажмите кнопку Установить Сертификат. В показываемом списке должен появиться новый Сертификат.


Безопасные Соединения SSL/TLS

TLS (Безопасность Уровня Транспорта) протокол - это PKI-приложение, используемое для обеспечение безопасности и целостности данных, передаваемых между сторонами в процессе осуществления коммуникации. Стороны используют PKI-шифрование для безопасного обмена данными, являющимися "секретными ключами", а затем все данные, передаваемые между сторонами, шифруются с использованием этих "секретных ключей". Более ранняя версия TLS-протокола называлась SSL-протокол (протокол безопасных соединений).

Сервер CommuniGate Pro поддерживает SSL/TLS соединения для всех сервисов и модулей, использующих TCP. Безопасные соединения могут устанавливаться двумя способами:

Обычно Сертификаты для SSL/TLS коммуникаций могут быть назначены только для таких Доменов CommuniGate Pro, которые имеют минимум один назначенный сетевой (IP) адрес. Это ограничение происходит из-за дизайна TLS-протокола, используемого сегодня: когда клиентское приложение хочет инициировать безопасное соединение, у Сервера нет информации о Домене, с которым хочет соединиться клиент. Сервер знает только, на какой местный IP-адрес обратился клиент, и поэтому он открывает тот Домен, которому назначен этот IP-адрес, и использует PKI Установки именно этого Домена.

Исключением из этого правила является XMPP протокол. До того, как XMPP клиент посылает команду starttls, он явно указывает имя требуемого домена в данных <stream>, и таким образом, Сервер может инициировать TLS-сессию с Доменом, который не имеет назначенного сетевого адреса.

Для того, что бы настроить Общие для Сервера параметры работы с SSL/TLS, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем откройте страницу Прочее:

Сессии TLS
Уровень Журнала: Отсоединяться получив неверный Сертификат
Время жизни: Слабые Шифрования
Уровень Журнала
Используйте эту настройку для того что бы указать какую информацию TLS модуль должен сохранять в Журнале работы Сервера. Записи, помещённые модулем TLS в Журнал работы Сервера, имеют пометку TLS.
Время жизни
Эта настройка указывает время кэширования TLS-сессий. Когда все соединения, использующие TLS-сессию, закрываются, Сервер будет ждать указанное время до удаления параметров TLS-сессии. Эта возможность позволяет клиентам устанавливать новые соединения, возобновляя старые TLS-сессии. Это увеличивает быстроту соединений и снижает загрузку Сервером центрального процессора. Эта возможность особенно важна для HTTP-клиентов, открывающих и закрывающих соединения очень часто.
Отсоединяться получив неверный Сертификат
Если Сервер потребовал от клиента предоставления Сертификата, то клиент может отправить некорректный сертификат: просроченный, выданный другому пользователю и т.д.
Если включена это опция, то процесс установления TLS соединения будет прерываться. Если эта опция выключена, то некорректные сертификаты игнорируются.
Слабые Шифрования
Выберите эту настройку, если вы хотите поддерживать слабую (менее чем 128-битную) безопасность (методы кодирования).

Сертификаты Клиентов

Сервер CommuniGate Pro может затребовать Сертификат Клиента в случаях, когда внешний клиент (почтовая программа, браузер или устройство для коммуникаций в реальном времени) устанавливает TLS соединение с определённым Доменом.

Через Веб Интерфейс Администратора откройте страницу Установки Домена для этого Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:

Запрашивать Сертификаты у Клиентов
Кем Выдан: Обязателен:
Кем Выдан
Выберите один из Доверенных Сертификатов, указанных для этого Домена.
Когда Доверенный Сертификат выбран, то от TLS-клиента, устанавливающего соединение с этим Доменом, будет потребовано предоставление действительного сертификата, выпущенного владельцем выбранного Доверенного Сертификата. Эти сертификаты могут использоваться для Аутентификации По Сертификату.
Обязателен
Если указана эта опция, то TLS соединения с Доменом смогут устанавливать только клиенты, предоставляющие действительный Сертификаты.

Функциональность S/MIME

S/MIME - это PKI приложение, используемое для цифровой подписи, а так же шифрования почтовых и других сообщений. Если TLS обеспечивает безопасность данных в момент пересылки по незащищенной сети, такой как Интернет, то S/MIME обеспечивает безопасность данных между конечными пользователями: S/MIME сообщение шифруется отправителем (с использованием Многостороннего Шифрования) и передается на сервер отправителя в зашифрованной форме. Тот же зашифрованная форма используется, когда сообщение передается через сеть, когда оно храниться на промежуточных серверах, и когда оно помещается в папки получателей. Только получатели, используя свои Закрытые Ключи, могут расшифровать сообщение и только в тот момент, когда они фактически читают сообщение: само сообщение остается зашифрованным в папках получателей.

Для того, что бы конечные пользователи могли использовать S/MIME безопасность, все они должны обладать своими собственными PKI-ключами. Каждый пользователь должен иметь Закрытый Ключ, безопасно хранящийся в месте, доступном только для этого пользователя, и соответствующий ему Открытый Ключ, встроенный в Сертификат. Этот Сертификат должен быть выдан Центром Сертификации (Удостоверяющим Центром), которому доверяют другие пользователи.

Веб Интерфейс Пользователя и XIMSS Интерфейс CommuniGate Pro поддерживают функциональность S/MIME. Сервер обеспечивает безопасное хранение Закрытых Ключей пользователей. Эти ключи могут быть разблокированы и использованы исключительно самими пользователями через указанные Интерфейсы.

Для того, что бы использовать обычное клиентское приложение на компьютере пользователя (POP, IMAP, или MAPI клиент), Закрытый Ключ пользователя должен храниться в специальном PKI-хранилище операционной системы компьютера.
Веб Интерфейс Пользователя и XIMSS Интерфейс могут экспортировать и импортировать Закрытые Ключи, так что пользователи могут использовать один и тот же Закрытый Ключ как для приложений, запущенных на своем компьютере, так и при работе через Интерфейсы. Дополнительную информацию смотрите в разделе
Безопасная почта.


S/MIME Установки Домена

В Сервере CommuniGate Pro используется Сертификат Сервера, выдающий Сертификаты пользователям.

Домен CommuniGate Pro может выступать как Центр Сертификации (Удостоверяющий Центр) для всех его Пользователей, если:

Для того, что бы настроить S/MIME Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку S/MIME. Если Домен имеет действительный Закрытый Ключ, то показывается страница, подобная той, что показывается при работе с обычным Доменным Сертификатом. Эти поля используются для ввода специального S/MIME сертификата Домена. Этот Сертификат используется как Эмитент (Центр Сертификации) для всех S/MIME Сертификатов, запрашиваемых пользователями в этом Домене.

Если специальный S/MIME не задан, то вместо Сертификата Эмитента будет использоваться обычный Сертификат Домена.


Автоматическое S/MIME Шифрование

Возможности S/MIME могут быть использованы для безопасного хранения сообщений. CommuniGate Pro может зашифровывать все или только определённые сообщения до сохранения их в папках пользователей.

Действие Записать Зашифровано в , задаваемое в Правилах, используется для шифрования всех входящих сообщений электронной почты и хранения их в указанной папке.

Сообщения шифруются S/MIME Сертификатом владельца папки. Если действие Записать Зашифровано в, заданное в Правилах, используется в Правиле уровня Пользователя (то есть Правила, заданного Пользователем или Правила, Общего для Домена), и указанная папка не принадлежит Пользователю, сообщение шифруется при помощи Сертификата владельца папки и текущего Пользователя.

Пример:
Пользователь под именем john имеет Правило, которое выполняет следующее действие:
Записать Зашифровано в ~jim/INBOX
Когда выполняется это действие, сообщение сохраняется зашифрованным с использованием обоих Сертификатов john и jim в Папке INBOX Пользователя jim. И john, и jim смогут расшифровать и прочитать это сообщение.

Шифрование Хранящихся Сообщений

После того, как пользователь CommuniGate Pro получил некие незашифрованные сообщения, он может предпочесть хранить их в Папках на Сервере зашифрованным. MAPI и XIMSS клиенты, а также Веб Интерфейс Пользователя обеспечивает функции Зашифровать и Расшифровать, которые позволяют пользователям зашифровывать и расшифровывать отдельные сообщения в своих Папках.


Руководство CommuniGate® Pro. Copyright © 1998-2009, Stalker Software, Inc.