Статьи

CommuniGate Pro: Інфраструктура Відкритих Ключів

  1. Призначення Закритого Ключа
  2. призначення Сертифікату
  3. Призначення Ланцюжки Сертифікації

версія 6.2

Звичайні ( "класичні") методи криптографії використовують блоки даних, які називаються "секретні ключі". Інформація, яку зашифровано з використанням "секретних ключів" може бути розшифрована будь-яким, хто знає метод шифрування і володіє "секретним ключем". Такий тип криптографії називається симетричною криптографією.

Альтернативні методи криптографії базуються на використанні пари ключів - "закритого ключа" і "відкритого ключа". Ці ключі повинні створюватися разом, з використанням спеціальних алгоритмів. Інформація, яку зашифровано "закритим ключем", може бути розшифрована будь-яким, хто знає відповідний "відкритий ключ", а будь-яка інформація, зашифрована "відкритим ключем", може бути розшифрована тільки з використанням відповідного "закритого ключа".
Інфраструктура Відкритих Ключів (Public Key Infrastructure, PKI) є технологією, що грунтується на такій асиметричної криптографії.

Закритий Ключ (Private Key) Блок даних (велике двійковечисло), створене з використанням алгоритмів PKI. Кожен із сторін, які здійснюють передачу інформації безпечним чином, повинна зберігати свій Закритий Ключ так, щоб виключити до нього доступ сторонніх. Цей ключ ніколи не повинен передаватися між сторонами, які здійснюють обмін інформацією. Відкритий Ключ (Public Key) Блок даних (велике двійковечисло), створений разом з Закритим Ключем. Кожна сторона, що здійснює безпечні комунікації, може і повинна публічно поширювати свій Відкритий Ключ. Спочатку передбачається, що Відкритий Ключ відомий всім, в тому числі і зловмисникам. Відкриті Ключі зазвичай поширюються в вигляді Сертифікатів. Дайджест Даних (Data Digest) Відносно невеликий блок даних, обчислений із застосуванням до оригінального блоку даних (зазвичай більшого розміру) спеціальних дайджест-функцій (хеш-функцій). Підпис Даних (Data Signature) Дайджест блоку Даних, зашифрований з використанням Закритого Ключа підписувати. Підписані Дані (Signed Data) Блок Даних, до якого додається Підпис цього блоку. Сторона, яка отримує Підписані Дані, використовуючи Відкритий Ключ підписувати може розшифрувати Підпис і, порівнявши вийшов Дайджест Даних з дайджест Даних, обчисленим самостійно, може переконатися, що блок даних не був змінений в процесі передачі. Сертифікат (Certificate) Блок даних, що містить ім'я власника Сертифікату (званому так само Темою Сертифікату), Відкритий Ключ власника, ім'я Видавця Сертифікату, Серійний Номер Сертифіката та деякі додаткові елементи даних. Такий блок даних підписується Видавцем Сертифікату.
Сертифікати відіграють роль Цифрових ідентифікаційних карт (посвідчень). Видавець (Issuer) Сторона, яка випускає сертифікати для третіх осіб, підписуючи їх своїм Закритим Ключем Видавця. Видавці так само називаються Центрами Сертифікації (підтверджуючий центр). Кожен сертифікат, створений певним Видавцем, має унікальний серійний номер. Довірені Центри Сертифікації (Trusted Authorities) Список, індивідуально ведеться стороною, що обмінюється інформацією. Кожен елемент списку містить ім'я "довіреної центру сертифікації" і його Відкритий Ключ.
Коли сторона отримує будь-який Сертифікат, вона може перевірити, чи включений Видавець в список "довірених центрів сертифікації" і за допомогою Відкритого Ключа цього "довіреної центру сертифікації" перевірити Підпис Сертифікату.
Сучасні операційні системи дозволяють користувачам безпечно вести базу даних Довірених Центрів Сертифікації. Кореневі Центри Сертифікації (Root Authorities) Повсюдно визнані Центри Сертифікації. Більшість сучасних операційних систем за замовчуванням містять кілька Кореневих Центрів Сертифікації в базі даних Довірених Центрів Сертифікації, що робить ці Кореневі Центри Сертифікації довіреними для всіх користувачів цього комп'ютера, що працюють в цій операційній системі. Ланцюжок сертифікації (Authority Chain) Набір Видавців Сертифікату для певного Сертифікату.
Деякий Центр X може не бути широко поширений як "довірений", але його власний Сертифікат може бути випущений більш широко визнаним Центром Y. У цьому випадку, Сертифікати, випущені X, які не будуть визнаватися, але якщо ці Сертифікати послані разом з власним Сертифікатом Центру X , випущеним Центром Y, то ці Сертифікати можуть бути визнані всім сторонами, які довіряють Центру Y. Само-Підписаний Сертифікат (Self-Signed Certificate) Сертифікат, випущений стороною самої для себе. Тема і Видавець такого Сертифікату збігаються. Само-Підписаний Сертифікат містить Відкритий Ключ боку і підписаний Закритим Ключем цієї ж сторони.
Само-Підписані Сертифікати можуть бути довіреними тільки якщо інші сторони явно включили їх до своїх списків "довірених центрів сертифікації". Багатостороннє Шифрування (Multiparty Encryption) Метод шифрування, використовуваний для відправки даних декільком сторонам з відомими Сертифікатами. Зашифровані один раз повідомлення можуть бути незалежно від інших сторін розшифровані будь-якою стороною, яка має Закритим Ключем, що відповідає одному з Сертифікатів, використовуваних при шифруванні. У кожному домені CommuniGate Pro є свої власні Установки PKI. Вони включають в себе Закритий Ключ, пов'язаний з Доменом, і Сертифікати, які містять Відкритий Ключ.

Для зміни Встановлення PKI для будь-якого Домену, відкрийте через Веб Інтерфейс Адміністратора сторінку Установки Домену і натисніть на лінк Безпека. З'явиться сторінка з настройками PKI:

Ця опція дозволяє вам вибрати режим PKI для цього Домену:

Виключено Якщо вказана ця опція, то функції PKI для цього Домену вимкнені. Якщо вказана ця опція, то всі інші Установки PKI Домену ігноруються. Test Якщо вказана ця опція, то для цього Домену будуть використовуватися Загальний для Сервера Тестовий Закритий Ключ і Тестовий Сертифікат. Якщо ця опція вказана, то ви не повинні вказувати інші Установки PKI Домену. Використовуйте цей режим тільки для тестових цілей.
Загальний для Сервера Тестовий Сертифікат містить в поле Тема ім'я Головного Домену і CommuniGate Systems, Inc. в поле Видавець. Цей Сертифікат дійсний протягом 30 днів з моменту останнього перезапуску Сервера. Включено Якщо ця опція вибрана, активуються всі інші Установки PKI Домену.

Призначення Закритого Ключа

Спочатку Домени CommuniGate Pro не мають Закритих Ключів. Ви повинні ввести розмір ключа і натиснути на кнопку Згенерувати Ключ для створення випадкового Закритого Ключа і призначення його цього Домену.

Зверніть увагу: в залежності від платформи, на якій працює сервер, може знадобитися кілька секунд для створення 2048-бітового Ключа.

Тільки після призначення Закритого Ключа на сторінці Безпека з'являться поля, пов'язані з Сертифікатами.

Для того, щоб створити Закритий Ключ, ви можете використовувати програми сторонніх виробників (такі, як OpenSSL). Ви повинні вказати таку програму вивести Закритий Ключ в PEM форматі (як показано нижче).
Виберіть пункт Імпортувати в меню Розмір Ключа і натисніть на кнопку Згенерувати Ключ. З'явиться текстове поле. Скопіюйте Закритий Ключ в PEM-форматі (або в форматі RSA або PKCS # 8) в це текстове поле, і натисніть на кнопку Згенерувати Ключ:

Зверніть увагу: Переконайтеся, що імпортується ключ не зашифрований паролем. Текст, перші рядки в якому мають приблизно такий вигляд:

----- BEGIN RSA PRIVATE KEY ----- Proc-Type: 4, ENCRYPTED DEK-Info: DES-CBC, 90C96A721C4E4B0B GzLyio + Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh + / 76I / 6sNx ............. .... свідчить, що Закритий Ключ зашифрований і не може бути імпортований на Сервер.

Якщо Закритий Ключ встановлений коректно, і цей Ключ може використовуватися для асиметричної криптографії, ви побачите наступну панель:

Якщо в поле Тест Ключа міститься вказівка ​​на помилку, імпортований Закритий Ключ не може використовуватися в асиметричної криптографії.

Використовуйте кнопку Видалити Ключі та Сертифікат, щоб видалити введений Закритий Ключ Домену. Так як Сертифікат Домену може використовуватися спільно з одним і тільки одним Закритим Ключем, то він стане непотрібним, коли ви видалите Закритий Ключ; таким чином існуючий Сертифікат Домену також буде видалений.

призначення Сертифікату

Для підтримай функцій Інфраструктури Відкритих Ключів, Домен повинен мати Сертифікат.

Ім'я Сертифікату Домену (частина Імені-Ідентифікатора поля Тема Сертифікату) повинна відповідати імені домену, який використовується клієнтськими додатками.
Якщо Домен CommuniGate Pro має Псевдоніми Домену, спроби з'єднання з сервером з використанням Псевдоніма Домену приведуть до появи попередження на комп'ютері клієнта, який повідомляє користувача про невідповідність в іменах. Так як Сертифікат може містити тільки одне ім'я, вибирайте ім'я (реальне ім'я Домена або один із псевдонімів Домену), яке використовуватимуть ваші користувачі в своїх клієнтських додатках. Якщо ім'я вашого Домену CommuniGate Pro company.dom, і це ім'я домену не має A-записи в DNS, але Домен має псевдонім mail.company.dom, який, в свою чергу, має A-запис в DNS, яка вказує на Сервер CommuniGate Pro , то ваші користувачі будуть використовувати ім'я mail.company.dom в налаштуваннях своїх клієнтських додатків і в URL Веб Інтерфейсу Користувача, так що Сертифікат Домену повинен бути випущений на ім'я mail.company.dom, а не на company.dom.

Ви так само можете використовувати "шаблон підстановки" імен домену для ваших сертифікатів. Якщо ім'я Домена має мінімум 2 компоненти, то меню Ім'я-Ідентифікатор буде містити "шаблон підстановки" імені Домену: перша компонента імені Домену буде замінена символом зірочка (*). Якщо ім'я Домена складається з тільки двох компонент, то компонент зірочка буде додано для формування трехкомпонентного імені.

Для створення Сертифікату, заповніть всі поля в таблиці атрибутів Сертифікату:

Ім'я-Ідентифікатор Коли Сертифікат надсилається клієнтського додатку, додаток перевіряє відповідність Імені-Ідентифікатора Сертифікату з ім'ям, зазначеним користувачем в URL і / або в налаштуваннях поштової програми. Контакт Це поле повинно містити коректну адресу електронної пошти; ця адреса не обов'язково повинен бути в домені CommuniGate Pro.

Всі інші поля є необов'язковими для заповнення.

Для того, щоб отримати Сертифікат із зовнішнього джерела, (з "довіреної центру сертифікації"), натисніть кнопку "Створити Запит на Підписання". З'явиться текстове поле, що містить CSR (Запит на Підписання Сертифікату) в PEM-форматі:

Скопіюйте текст CSR і передайте його в обраний вами Центр Сертифікації (CA). Ви можете передати його по електронній пошті або через спеціальну Веб форму на сайті CA. Центр Сертифікації повинен повернути вам підписаний Сертифікат в PEM-форматі. Введіть Сертифікат в поле внизу і натисніть кнопку Встановити Сертифікат.

Якщо Сертифікат приймається, то відображається інформація про нього:

Панель з інформацією про Сертифікат показує ім'я Видавця Сертифікату (Центру Сертифікації), Тему Сертифікату (дані, які ви ввели і ім'я домену), серійний номер Сертифіката та термін його дії.

Зверніть увагу: введений Закритий Ключ буде використовуватися для безпечного обміну інформацією ТІЛЬКИ за умови, що опція Послуги PKI криптографії має значення Включено.

Зверніть увагу: в Сертифікаті в даних "Теми" міститься ім'я Домена або Псевдоніма Домену.
Коли ви перейменовуєте Домен в CommuniGate Pro, ім'я домену в Сертифікаті Домену не змінюється, і клієнтські програми можуть почати попереджати користувачів про невідповідність в імені.

Для того, щоб видалити Сертифікат Домену, натисніть на кнопку Видалити Сертифікат.

Призначення Ланцюжки Сертифікації

Якщо Видавець Сертифікату відомий програмному забезпеченню користувача (поштовим програмам і браузерам), то, коли клієнт отримує від Сервера Сертифікат, попередження на екрані користувача не з'являється. У багатьох випадках, "Довірений Центр Сертифікації" не випускає сертифікати самостійно. Замість цього, він делегує право випускати сертифікату якомусь третьому Центру Сертифікації (підтверджуючий центр). Коли ваш Сервер використовує Сертифікат, виданий таким Центром Сертифікації, Сервер так само повинен надавати Сертифікат цього Центру Сертифікації, виданий "Довіреною Центром Сертифікації". Програмне забезпечення клієнта перевірить спочатку ваш Сертифікат, виявить, що емітент вашого Сертифікату не є "Довіреною Центром Сертифікації", і потім перевірить додатковий Сертифікат (и), які надав Сервер. Якщо такий додатковий Сертифікат випущений "Довіреною Центром Сертифікації", і він підтверджує емітента вашого Сертифікату Домену, то ваш Сертифікат приймається без попереджень.

Коли ви отримуєте Сертифікат з Центру Сертифікації, який відсутній в списку "Довірених Центрів Сертифікації" в клієнтському програмному забезпеченні, то цей проміжний Центр Сертифікації так само повинен надати вам свій власний Сертифікат, підписаний "Довіреною Центром Сертифікації". Цей Сертифікат повинен бути в такому ж PEM-форматі, як і ваш Сертифікат Домену:

Ланцюжок Центрів Сертифікації (Засвідчуючих Центрів) може включати кілька сертифікатів: перший засвідчує емітента Сертифікату Домену, який ви ввели, але сам може бути випущений деяким проміжним центром сертифікації. Наступний Сертифікат засвідчує цей проміжний Центр Сертифікації, і так далі. Останній Сертифікат в ланцюжку повинен бути виданий якимось центром сертифікації, "відомим" клієнтського програмного забезпечення - зазвичай, якимось Кореневим Центром Сертифікації.

Якщо ваша Ланцюжок Центрів Сертифікації містить кілька окремих Сертифікатів в PEM-форматі, введіть їх усіх в полі Ланцюжок Сертифікації (Необов'язково). Сертифікат, виданий Кореневим Центром Сертифікації, повинен бути останнім у списку.

Натисніть на кнопку Встановити Ланцюжок для призначення Домену Ланцюжки Сертифікації. Якщо все Сертифікати в ланцюжку мають правильний формат і успішно декодовані, то показується список Ланцюжки Сертифікації:

Зверніть увагу: CommuniGate Pro перевіряє тільки формат кожного Сертифікату в ланцюжку. Він не перевіряє, наприклад, що кожен Сертифікат дійсно засвідчує емітента попереднього Сертифіката, або що останній Сертифікат виданий Кореневим Центром Сертифікації.

Після того, як Ланцюжок Сертифікації встановлена, вона відправляється клієнтам разом з Сертифікатом Домену.

Натисніть на кнопку Видалити Ланцюжок для видалення Ланцюжки Сертифікації з Встановлення Безпеки Домену.

Якщо ви не хочете використовувати зовнішній Центр Сертифікації, то ви можете створити Само-Підписаний Сертифікат.
Натисніть на кнопку Створити Само-Підписаний і Сервер CommuniGate Pro створить для вас Само-Підписаний Сертифікат: видавцем буде та особа, яка ви вказали, і Сертифікат буде підписаний Закритим Ключем Домену. Якщо Домен має Само-Підписаний Сертифікат, клієнтські програми щоб отримувати повідомлення, що використовується сервер представив сертифікат, "випущений невідомою службою". користувачі можуть "Встановити" самоподпісанного сертифікати, щоб уникнути появи цих попереджень.

Коли клієнтську програму отримує Сертифікат, і його видавець не включений в їх список Довірених Центрів Сертифікації, додаток може показувати попередження або відмовитися прийняти Сертифікат.

Ваші користувачі можуть "встановити" ваш Сертифікат Домену в свої списки Довірених Центрів Сертифікації. Після установки, Сертифікат стає "довірених". Для деяких програм (такі, як Mac-версії Microsoft Outlook і Outlook Express), установка "недовірених" Сертифікату є єдиним способом використання цього Сертифікату для безпечного обміну інформацією.

Для установки Сертифікату Домену, користувач повинен використовувати браузер і відкрити через Веб інтерфейс користувача для необхідного Домену сторінку входу. Якщо в домені включені Сертифікати, то з'явиться посилання на Сертифікат Безпеки. Користувач повинен перейти за цим посиланням для завантаження Сертифікату Домену і "відкрити" його. Браузер повинен дозволити користувачеві перевірити Сертифікат і встановити його в список Довірених Центрів Сертифікації.

Якщо в домені є Само-Підписаний Сертифікат, то на сторінці Веб Адміністрування з'являється кнопка "Оновити Само-Підписаний". Натисніть на цю кнопку що створити новий Само-Підписаний Сертифікат з тим же самим серійним номером, але з новим терміном дії.

Сервер CommuniGate Pro може перевіряти дійсність сертифікатів, які йому надають. наприклад, Веб інтерфейс користувача перевіряє Сертифікати, коли показує підписані повідомлення.

Сертифікат вважається дійсним, якщо:

  • він збігається з одним з Довірених Сертифікатів, або
  • він виданий одним з володарів Довірених Сертифікатів.

Є кілька наборів Довірених Сертифікатів:

  • Вбудовані довірені Сертифікати: ЦІ сертифікати встановлюються разом Із сервером CommuniGate Pro, и оновлюються разом з оновленням Сервера.
  • Общесерверніе и общекластерніе Довірені Сертифікати.
  • Загальні для Домену Довірені Сертифікати.

Коли виконується будь-яка PKI-операція для якого-небудь Домену (або для певного Користувача в цьому домені), перевіряються наступні Довірені Сертифікати:

  • Довірені Сертифікати Домену
  • Общекластерние Довірені Сертифікати, якщо Домен обслуговується в Кластері і общесерверние Довірені Сертифікати, якщо Домен що не обслуговується в Кластері
  • вбудовані Довірені Сертифікати

Коли PKI-операція виконується для потреб самої Системи (наприклад, при установці вихідного TLS-з'єднання), перевіряються наступні Довірені Сертифікати:

  • Общесерверние Довірені Сертифікати
  • Общекластерние Довірені Сертифікати
  • вбудовані Довірені Сертифікати

Використовуйте Веб Інтерфейс Адміністратора для поновлення Общсерверних і Общекластерних Довірених Сертифікатів. Відкрийте сторінку Безпека в розділі Користувачі. Відкриється сторінка Довірені Сертифікати:

Включені в показується список Довірені Сертифікати мають зліва кнопку-прапорець. Для видалення обраних Сертифікатів, відзначте прапорець і натисніть кнопку Видалити Помічені.

На додаток до показаних Сертифікати, Загальні для Домену сторінки показують вбудовані Довірені Сертифікати і Общесерверние Довірені Сертифікати (або Общекластерние для Розподілених доменів).
Общесерверние і Общекластерние сторінки з Довіреними Сертифікатами показують вбудовані Довірені Сертифікати.
Поруч з цими додатковими сертифікатами немає кнопки-прапорця.

Для того, щоб додати Сертифікат, введіть дані Сертифікату в PEM-форматі в текстове поле і натисніть кнопку Встановити Сертифікат. В показує списку має з'явитися новий Сертифікат.

TLS (Безпека Рівня Транспорту) протокол - це PKI-додаток, що використовується для забезпечення безпеки і цілісності даних, що передаються між сторонами в процесі здійснення комунікації. Сторони використовують PKI-шифрування для безпечного обміну даними, які є "секретними ключами", а потім всі дані, що передаються між сторонами, шифруються з використанням цих "секретних ключів". Більш рання версія TLS-протоколу називалася SSL-протокол (протокол безпечних з'єднань).

Сервер CommuniGate Pro підтримує SSL / TLS з'єднання для всіх сервісів і модулів, що використовують TCP. Безпечні з'єднання можуть встановлюватися двома способами:

  • Клієнтську програму використовує спеціальний порт для з'єднання з сервером і починає встановлювати TLS (зашифроване) з'єднання відразу після встановлення TCP-з'єднання на цей порт. Цей метод використовується всіма браузерами, при завданні URL виду https: //.
    Цей метод використовується також, коли в SIP-клієнта активована опція "TLS-транспорт".
    Деякі поштові клієнти використовують її для POP, IMAP, LDAP і (рідко) SMTP з'єднань.
    Для підтримки таких клієнтів, налаштуйте приймачі для HTTP, SIP, POP, IMAP, SMTP і LDAP модулів: Приймачі повинні приймати TCP-з'єднання на спеціальні порти (дивіться правильні Безпечні Номери Портів в описах модулів) і опція Початковий SSL / TLS повинна бути включена для цих портів.
  • Клієнтську програму використовує стандартний порт для зв'язку з сервером, і потім передає спеціальну команду (зазвичай звану STARTTLS або STLS) через встановлений незахищене TCP-з'єднання. Коли Сервер отримує таку команду він починає встановлювати безпечне з'єднання. Для підтримки таких клієнтів ви не повинні налаштовувати додаткові порти в модулі Приймачі.

Зазвичай Сертифікати для SSL / TLS комунікацій можуть бути призначені тільки для таких доменів CommuniGate Pro, які мають мінімум один призначений мережевий (IP) адреса. Це обмеження відбувається через дизайн TLS-протоколу, який використовується сьогодні: коли клієнтське додаток хоче ініціювати безпечне з'єднання, у Сервера немає інформації про домені, з яким хоче з'єднатися клієнт. Сервер знає тільки, на який місцевий IP-адреса звернувся клієнт, і тому він відкриває той Домен, якому призначений цей IP-адреса, і використовує PKI Установки саме цього Домену.

Винятком з цього правила є XMPP протокол. До того, як XMPP клієнт посилає команду starttls, він явно вказує ім'я необхідного домену в даних <stream>, і таким чином, Сервер може ініціювати TLS-сесію з Доменом, який не має призначеного мережевого адреси.

Щоб налаштувати Общесерверние параметри роботи з SSL / TLS, використовуйте Веб Інтерфейс Адміністратора. Відкрийте в області Установки сторінку Загальна, потім відкрийте сторінку Інше:

Рівень Журналу Використовуйте це налаштування для того, щоб вказати яку інформацію модуль TLS повинен зберігати в Журналі роботи Сервера. Записи, поміщені модулем TLS в Журнал роботи Сервера, мають позначку TLS. Час життя Ця настройка вказує час кешування TLS-сесій. Коли всі з'єднання, які використовують TLS-сесію, закриваються, Сервер буде чекати зазначений час до видалення параметрів TLS-сесії. Ця можливість дозволяє клієнтам встановлювати нові з'єднання, відновлюючи старі TLS-сесії. Це зменшує час створення з'єднань і знижує завантаження Сервером центрального процесора. Ця можливість особливо важлива для HTTP-клієнтів, які відкривають і закривають з'єднання дуже часто. Mінімальная Версія Ця установка задає найстарішу допустиму версію протоколу SSL / TLS. Якщо віддалена сторона вказує підтримку версії SSL / TLS старіше, ніж зазначено в цій установці, то спроба створення безпечного з'єднання відкидається.
Цей параметр діє тільки на вхідні з'єднання. Обробляти Ім'я адресується Домену Якщо ця установка включена, сервер підтримує розширення протоколу TLS, яке дозволяє клієнтам указиваеть ім'я Домена Сервера, до якого вони приєднуються. Це властивість дозволяє обслуговувати декілька доменів з використанням TLS, використовуючи єдиний мережевий адресу IP. CBC Шифрування для старих TLS Виберіть цю функцію, якщо ви хочете підтримувати методи шифрування CBC з SSL 3.0 і TLS 1.0. Методи шифрування CBC завжди підтримуються для пакетних протоколів (DTLS). Слабкі Шифрування Виберіть цю функцію, якщо ви хочете підтримувати слабку (менше ніж 128-бітну) безпека (методи кодування). Також повинна бути включена установка підтримки Методів шифрування CBC. Приймати SSLv2 'hello' Якщо ця установка, Сервер приймає початкові запити в стилі протоколу SSL 2.0, використовувані багатьма старими клієнтами.
Зверніть увагу: навіть коли ця установка включена, для самого з'єднання використовується протокол SSL 3.0 або TLS, протокол SSL 2.0 для з'єднання не використовується. Немає розумної причини вимикати цю функцію - хіба тільки для проходження "тестів на безпеку". Від'єднуватися отримавши невірний Сертифікат Якщо Сервер зажадав від клієнта надання Сертифікату , То клієнт може відправити некоректний сертифікат: прострочений, виданий іншому користувачеві і т.д.
Якщо включена це опція, то процес встановлення TLS з'єднання буде перериватися. Якщо ця опція вимкнена, то некоректні сертифікати ігноруються.

Сервер CommuniGate Pro може зажадати Сертифікат Клієнта у випадках, коли зовнішній клієнт (поштова програма, браузер або пристрій для комунікацій в реальному часі) встановлює TLS з'єднання з певним Доменом.

Через Веб Інтерфейс Адміністратора відкрийте сторінку Установки Домену для цього Домену і натисніть на лінк Безпека. З'явиться сторінка з настройками PKI:

Ким Видано Виберіть один з довірених сертифікатів , Зазначених для цього Домену.
Коли Довірений Сертифікат обраний, то від TLS-клієнта, який встановлює з'єднання з цим Доменом, буде вимагатися надання дійсного сертифіката, випущеного власником обраного довіреної Сертифікату. Ці сертифікати можуть використовуватися для Аутентифікації За Сертифікату . Обов'язковий Якщо вказана ця опція, то TLS з'єднання з Доменом зможуть встановлювати тільки клієнти, що надають дійсні Сертифікати.

Сервер CommuniGate Pro обробляє запити на клієнтські сертифікати при встановленні з'єднань TLS з зовнішніми серверами (по протоколах SMTP, XMPP, SIP, POP і іншим). В якості клієнтського при цьому відправляється Сертифікат TLS, встановлений в Головному домені.

S / MIME - це PKI додаток, що використовується для цифрового підпису, а також шифрування поштових та інших повідомлень. Якщо TLS забезпечує безпеку даних в момент пересилання по незахищеній мережі, такий як Інтернет, то S / MIME забезпечує безпеку даних між кінцевими користувачами: S / MIME повідомлення шифрується відправником (з використанням Багатостороннього Шифрування) і передається на сервер відправника в зашифрованою формі. Та ж зашифрована форма використовується, коли повідомлення передається через мережу, коли воно зберігається на проміжних серверах, і коли воно поміщається в папки одержувачів. Тільки одержувачі, використовуючи свої Закриті Ключі, можуть розшифрувати повідомлення і тільки в той момент, коли вони фактично читають повідомлення: саме повідомлення залишається зашифрованим в папках одержувачів.

Для того, щоб кінцеві користувачі могли використовувати S / MIME безпеку, всі вони повинні володіти своїми власними PKI-ключами. Кожен користувач повинен мати Закритий Ключ, безпечно зберігається в місці, доступному тільки для цього користувача, і відповідний йому Відкритий Ключ, вбудований в Сертифікат. Цей Сертифікат повинен бути виданий Центром Сертифікації (Засвідчуючим Центром), якому довіряють інші користувачі.

Веб інтерфейс користувача і XIMSS Інтерфейс CommuniGate Pro підтримують функціональність S / MIME. Сервер забезпечує безпечне зберігання Закритих Ключів користувачів. Ці ключі можуть бути розблоковані і використані виключно самими користувачами через зазначені Інтерфейси.

Щоб використовувати звичайне клієнтську програму на комп'ютері користувача (POP, IMAP, або MAPI клієнт), Закритий Ключ користувача повинен зберігатися в спеціальному PKI-сховище операційної системи комп'ютера.
Веб інтерфейс користувача і XIMSS Інтерфейс можуть експортувати й імпортувати Закриті Ключі, так що користувачі можуть використовувати один і той же Закритий Ключ як для додатків, запущених на своєму комп'ютері, так і при роботі через Інтерфейси. Додаткову інформацію дивіться в розділі безпечна пошта .

У Сервері CommuniGate Pro використовується Сертифікат Сервера, що видає Сертифікати користувачам.

Домен CommuniGate Pro може виступати як Центр Сертифікації (Удостоверяющий Центр) для всіх його користувачів, якщо:

  • опція Послуги PKI криптографії Включена.
  • Домен має дійсний Закритий Ключ.
  • Домен має дійсний звичайний Сертифікат або спеціальні S / MIME Сертифікат.

Щоб задати S / MIME Установки Домену, використовуйте Веб Інтерфейс Адміністратора і відкрийте сторінки Установки Домену. Відкрийте сторінку Безпека і натисніть на лінк S / MIME. Якщо Домен має дійсний Закритий Ключ, то показується сторінка, подібна до тієї, що показується при роботі зі звичайним Доменним Сертифікатом. Ці поля використовуються для введення спеціального S / MIME сертифікату Домену. Цей Сертифікат використовується як Видавець (Центр Сертифікації) для всіх S / MIME сертифікатів, запитуваних користувачами в цьому домені.

Якщо спеціальний S / MIME не заданий, то замість Сертифікату Видавця буде використовуватися звичайний Сертифікат Домену.

Можливості S / MIME можуть бути використані для безпечного зберігання повідомлень. CommuniGate Pro може зашифровувати все або тільки певні повідомлення до збереження їх в папках користувачів.

Дія Записати зашифрувати в, що задається в правилах , Використовується для шифрування всіх вхідних повідомлень електронної пошти та зберігання їх у зазначеній папці.

Повідомлення шифруються S / MIME Сертифікатом власника папки. Якщо дія Записати зашифрувати в, заданий в Правилах, використовується в Правилі рівня Користувача (тобто Правила, заданого Користувачем або Правила, Спільного для Домену), і зазначена папка не належить Користувачу, повідомлення шифрується за допомогою Сертифікату власника папки і поточного Користувача.

Приклад: Користувач під ім'ям john має Правило, яке виконує такі дії:
Записати зашифрувати в ~ jim / INBOX
Коли виконується ця дія, лист залишиться зашифрованим з використанням обох Сертифікатів john і jim в папці INBOX Користувача jim. І john, і jim зможуть розшифрувати і прочитати це повідомлення.

Після того, як користувач CommuniGate Pro отримав якісь незашифровані повідомлення, він може віддати перевагу зберігати їх в папки дзеркала зашифрованими. MAPI и XIMSS клієнти, а також Веб інтерфейс користувача забезпечують функції Зашифрувати і Розшифрувати, які дозволяють користувачам зашифровувати і розшифровувати окремі повідомлення в своїх папках.

DKIM (DomainKeys Identified Mail) це метод аутентифікації E-mail повідомлень, заснований на додаванні до листа особливого заголовка з цифровою Підписом. Підпис створюється методом шифрування на основі Закритого і Відкритого Ключів. Приймаючий сервер може використовувати Відкритий Ключ, щоб перевірити, що Підпис відповідає Закритому Ключу, і що тіло листа і найбільш важливі заголовки не внесено жодних змін процесі пересилання.

Щоб задати DKIM Установки Домену, використовуйте Веб Інтерфейс Адміністратора і відкрийте сторінки Установки Домену. Відкрийте сторінку Безпека і натисніть на лінк DKIM.

Щоб включити додавання підписів до вихідних повідомлень, потрібно виконати наступні кроки:

  1. Створити (або імпортувати створений зовнішньої утилітою) Закритий Ключ, подібно призначенням Закритого Ключа для домену .
    Після того, як Закритий Ключ буде призначений, відповідний Відкритий Ключ буде показаний. відкритий Ключ
  2. Задати значення для поля Домен - це повинно бути ім'я поточного Домену, або ім'я відповідного домену верхнього рівня.
  3. Вибрати і задати значення поля Селектор - довільну рядок.
  4. Параметри DKIM-Підписи Домен: Селектор:
  5. Створити DNS TXT запис для імені Selector ._domainkey. Domain зі значенням "v = DKIM1; p = MIGfMA0GCSqG ..." де значення "p =" - це Ваш Відкритий Ключ.
  6. Використовуйте кнопку Перевірити, щоб переконатися, що DNS-запис існує і містить правильний Відкритий Ключ. Врахуйте, що для новостворених DNS записів потрібен час, щоб поширитися по всьому світу.

  7. Після того, як всі вищеперелічені кроки завершені, переведіть значення Включено на Так
  8. Підписувати вихідні Повідомлення Включено:

Рекомендується регулярно (приблизно раз в 3 місяці) проводити ротацію Ключів, шляхом генерації нового Закритого Ключа і створення нової DNS-Записи з новим Селектором.

Зверніть увагу: DKIM Підписи складаються компонентою Enqueuer при постановці повідомлення в Черга, але фізично додаються, коли лист залишиться або відправляється.

Зверніть увагу: У процесі складання DKIM підписів приналежність повідомлення до Домену визначається адресою в заголовку From: повідомлення. Користувач з іншого Домена може змінити адресу в From: так, що його листи будуть підписуватися згідно налаштувань поточного Домену. Також, повідомлення, що надсилаються через CommuniGate сервер із зовнішніх джерел, можуть бути підписані поточним Доменом, якщо їх адреси в From: збігаються з іменами об'єктів в поточному домені.

Керівництво CommuniGate® Pro. Copyright © 1998-2019, Stalker Software, Inc.

Новости

Как создать видео без программ
Реклама - это один из видов деятельности, который помогает людям продвигать свои товары или услуги. Одним из таких видов рекламы является - раздача листовок или более современное название "флаеров". Раздача

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Финансовые новости мира
Вернуться в раздел Профессия экономист Экономисты востребованы в компаниях, где требуется контролировать расходы, правильно рассчитывать средства, где необходим постоянный анализ экономической деятельности

Транспортное средство закон
Пункт 1.5. ПДД гласит: «Участники дорожного движения должны действовать таким образом, чтобы не создавать опасности для движения и не причинять вреда», а в пункте 1.2. указано: «Участник дорожного движения»

Квест кімната дніпро
Законопроект о запрете посещения квестов детьми младше 14 лет прокомментировал один из самых популярных в России квест-агрегаторов. Поправки в городской закон о мерах по предупреждению причинения вреда