Инфраструктура Открытых Ключей (PKI)

Закрытый Ключ (Private Key)

Блок данных (большое двоичное число), созданное с использованием алгоритмов PKI. Каждый из сторон, осуществляющих передачу информации безопасным образом, должна хранить свой Закрытый Ключ так, чтобы исключить к нему доступ посторонних. Этот ключ никогда не должен передаваться между сторонами, осуществляющими обмен информацией.

Открытый Ключ (Public Key)

Блок данных (большое двоичное число), созданный вместе с Закрытым Ключом. Каждая сторона, осуществляющая безопасные коммуникации, может и должна публично распространять свой Открытый Ключ. Изначально предполагается, что Открытый Ключ известен всем, в том числе и злоумышленникам. Открытые Ключи обычно распространяются в виде Сертификатов.

Дайджест Данных (Data Digest)

Относительно небольшой блок данных, вычисленный с применением к оригинальному блоку данных (обычно большего размера) специальных дайджест-функций (хэш-функций).

Подпись Данных (Data Signature)

Дайджест блока Данных, зашифрованный с использованием Закрытого Ключа Подписывающего.

Подписанные Данные (Signed Data)

Блок Данных, к которому прилагается Подпись этого блока. Сторона, получающая Подписанные Данные, используя Открытый Ключ Подписывающего может расшифровать Подпись и, сравнив получившийся Дайджест Данных с Дайджестом Данных, вычисленным самостоятельно, может убедиться, что блок данных не был изменён в процессе передачи.

Сертификат (Certificate)

Блок данных, содержащий имя владельца Сертификата (называемом так же Темой Сертификата), Открытый Ключ владельца, имя Издателя Сертификата, Серийный Номер Сертификата и некоторые дополнительные элементы данных. Такой блок данных подписывается Издателем Сертификата.
Сертификаты играют роль Цифровых идентификационных карт (удостоверений).

Издатель (Issuer)

Сторона, которая выпускает сертификаты для третьих лиц, подписывая их своим Закрытым Ключом Издателя. Издатели так же называются Центрами Сертификации (Удостоверяющими Центрами). Каждый сертификат, созданный определённым Издателем, имеет уникальный серийный номер.

Доверенные Центры Сертификации (Trusted Authorities)

Список, индивидуально ведущийся стороной, обменивающейся информацией. Каждый элемент списка содержит имя "доверенного центра сертификации" и его Открытый Ключ.
Когда сторона получает любой Сертификат, она может проверить, включён ли Издатель в список "доверенных центров сертификации" и с помощью Открытого Ключа этого "доверенного центра сертификации" проверить Подпись Сертификата.
Современные операционные системы позволяют пользователям безопасно вести базу данных Доверенных Центров Сертификации.

Корневые Центры Сертификации (Root Authorities)

Повсеместно признаваемые Центры Сертификации. Большинство современных операционных систем по умолчанию содержат несколько Корневых Центров Сертификации в базе данных Доверенных Центров Сертификации, что делает эти Корневые Центры Сертификации доверенными для всех пользователей этого компьютера, работающих в этой операционной системе.

Цепочка Сертификаций (Authority Chain)

Набор Издателей Сертификата для определённого Сертификата.
Некоторый Центр X может не быть широко распространён как "доверенный", но его собственный Сертификат может быть выпущен более широко признаваемым Центром Y. В этом случае, Сертификаты, выпущенные X, не будут признаваться, но если эти Сертификаты посланы вместе с собственным Сертификатом Центра X, выпущенным Центром Y, то эти Сертификаты могут быть признаны всем сторонами, которые доверяют Центру Y.

Само-Подписанный Сертификат (Self-Signed Certificate)

Сертификат, выпущенный стороной самой для себя. Тема и Издатель такого Сертификата совпадают. Само-Подписанный Сертификат содержит Открытый Ключ стороны и подписан Закрытым Ключом этой же стороны.
Само-Подписанные Сертификаты могут быть доверенными только если другие стороны явно включили их в свои списки "доверенных центров Сертификации".

Многостороннее Шифрование (Multiparty Encryption)

Метод шифрования, используемый для отправки данных нескольким сторонам с известными Сертификатами. Зашифрованные один раз сообщения могут быть независимо от других сторон расшифрованы любой стороной, которая обладает Закрытым Ключом, соответствующий одному из Сертификатов, используемых при шифровании.

В каждом Домене CommuniGate Pro есть свои собственные Установки PKI. Они включают в себя Закрытый Ключ, связанный с Доменом, и Сертификаты, содержащие Открытый Ключ.

Для изменения Установок PKI для какого-либо Домена, откройте через Веб Интерфейс Администратора страницу Установки Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:

Услуги PKI Криптографии

по умолчанию(Test)ВключеноВыключеноTest

Эта опция позволяет вам выбрать режим PKI для этого Домена:

Выключено

Если указана эта опция, то функции PKI для этого Домена выключены. Если указана эта опция, то все другие Установки PKI Домена игнорируются.

Test

Если указана эта опция, то для этого Домена будут использоваться Общий для Сервера Тестовый Закрытый Ключ и Тестовый Сертификат. Если эта опция указана, то вы не должны указывать другие Установки PKI Домена. Используйте этот режим только для тестовых целей.
Общий для Сервера Тестовый Сертификат содержит в поле Тема имя Главного Домена и AO StalkerSoft в поле Издатель. Этот Сертификат действителен в течение 30 дней с момента последнего перезапуска Сервера.

Включено

Если эта опция выбрана, активируются все другие Установки PKI Домена.

Назначение Закрытого Ключа

Первоначально Домены CommuniGate Pro не имеют Закрытых Ключей. Вы должны ввести размер ключа и нажать на кнопку Сгенерировать Ключ для создания случайного Закрытого Ключа и назначения его этому Домену.

Закрытый Ключ
	Размер Ключа:512102420484096

Обратите внимание: в зависимости от платформы, на которой работает сервер, может потребоваться несколько секунд для создания 2048-битового Ключа.

Только после назначения Закрытого Ключа на странице Безопасность появятся поля, связанные с Сертификатами.

Для того, чтобы создать Закрытый Ключ, вы можете использовать программы сторонних производителей (такие, как OpenSSL). Вы должны указать такой программе вывести Закрытый Ключ в PEM формате (как показано ниже).
Скопируйте Закрытый Ключ в PEM-формате (или в формате RSA или PKCS#8) в это текстовое поле, и нажмите на кнопку Импортировать Ключ:

Закрытый Ключ
	Введите Закрытый Ключ (в PEM формате): -----BEGIN RSA PRIVATE KEY----- MIIBPAIBAAJBAKrbeqkuRk8VcRmWFmtP+LviMB3+6dizWW3DwaffznyHGAFwUJ/I Tv0XtbsCyl3QoyKGhrOAy3RvPK5M38iuXT0CAwEAAQJAZ3cnzaHXM/bxGaR5CR1R rD1qFBAVfoQFiOH9uPJgMaoAuoQEisPHVcZDKcOv4wEg6/TInAIXBnEigtqvRzuy oQIhAPcgZzUq3yVooAaoov8UbXPxqHlwo6GBMqnv20xzkf6ZAiEAsP4BnIaQTM8S mvcpHZwQJdmdHHkGKAs37Dfxi67HbkUCIQCeZGliHXFa071Fp06ZeWlR2ADonTZz rJBhdTe0v5pCeQIhAIZfkiGgGBX4cIuuckzEm43g9WMUjxP/0GlK39vIyihxAiEA mymehFRT0MvqW5xAKAx7Pgkt8HVKwVhc2LwGKHE0DZM= -----END RSA PRIVATE KEY-----

Обратите внимание: Убедитесь, что импортируемый ключ не зашифрован паролем. Текст, первые строки в котором имеют примерно такой вид:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-CBC,90C96A721C4E4B0B

GzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx
.................

свидетельствует, что Закрытый Ключ зашифрован и не может быть импортирован на Сервер.

Если Закрытый Ключ установлен корректно, и этот Ключ может использоваться для асимметричной криптографии, вы увидите следующую панель:

Закрытый Ключ
Размер:	512 бит
Тест Ключа:	Verification String is OK

Если в поле Тест Ключа содержится указание на ошибку, импортируемый Закрытый Ключ не может использоваться в асимметричной криптографии.

Используйте кнопку Удалить Ключи и Сертификат, чтобы удалить введённый Закрытый Ключ Домена. Так как Сертификат Домена может использоваться совместно с одним и только одним Закрытым Ключом, то он станет бесполезным, когда вы удалите Закрытый Ключ; таким образом существующий Сертификат Домена также будет удалён.

Назначение Сертификата

Для поддержи функций Инфраструктуры Открытых Ключей, Домен должен иметь Сертификат.

Имя Сертификата Домена (часть Имени-Идентификатора поля Тема Сертификата) должно соответствовать имени домена, используемого клиентскими приложениями.
Если Домен CommuniGate Pro имеет Псевдонимы Домена, попытки соединения с Сервером с использованием Псевдонима Домена приведут к появлению предупреждения на компьютере клиента, уведомляющего пользователя о несоответствии в именах. Так как Сертификат может содержать только одно имя, выбирайте имя (реальное имя Домена или один из Псевдонимов Домена), которое будут использовать ваши пользователи в своих клиентских приложениях. Если имя вашего Домена CommuniGate Pro company.dom, и это имя домена не имеет A-записи в DNS, но Домен имеет псевдоним mail.company.dom, который, в свою очередь, имеет A-запись в DNS, указывающую на Сервер CommuniGate Pro, то ваши пользователи будут использовать имя mail.company.dom в настройках своих клиентских приложений и в URL Веб Интерфейса Пользователя, так что Сертификат Домена должен быть выпущен на имя mail.company.dom, а не на company.dom.

Вы так же можете использовать "шаблон подстановки" имён домена для ваших сертификатов. Если имя Домена имеет минимум 2 компоненты, то меню Имя-Идентификатор будет содержать "шаблон подстановки" имени Домена: первая компонента имени Домена будет заменена символом звёздочка (*). Если имя Домена состоит из только двух компонент, то компонент звёздочка будет добавлен для формирования трехкомпонентного имени.

Для создания Сертификата, заполните все поля в таблице Атрибутов Сертификата:

Генератор Сертификатов
Имя-Идентификатор:	d1.communigate.rumyalias.dom*.communigate.ru
Альтернативное Имя:
Страна:
Область:
Город:
Организация:
Подразделение:
Контакт:
Подпись:	по умолчанию(SHA1)MD5SHA1SHA2

Имя-Идентификатор

Когда Сертификат посылается клиентскому приложению, приложение проверяет соответствие Имени-Идентификатора Сертификата с именем, указанным пользователем в URL и/или в настройках почтовой программы.

Контакт

Это поле должно содержать корректный адрес электронной почты; этот адрес не обязательно должен быть в Домене CommuniGate Pro.

Все другие поля являются необязательными для заполнения.

Для того, чтобы получить Сертификат из внешнего источника, (из "доверенного центра сертификации"), нажмите кнопку "Создать Запрос на Подписание". Появится текстовое поле, содержащее CSR (Запрос на Подписание Сертификата) в PEM-формате:

Генератор Сертификатов
Имя-Идентификатор:	d1.communigate.rumyalias.dom*.communigate.ru
Страна:
Область:
Город:
Организация:
Подразделение:
Контакт:
Введите Сертификат (в PEM формате)
-----BEGIN CERTIFICATE REQUEST----- MIIBZTCCAQ8CAQAwgakxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTESMBAGA1UE BxMJU2F1c2FsaXRvMSEwHwYDVQQKExhBQ01FIFlhY2h0IFJlbnRhbHMsIEluYy4x GTAXBgNVBAsTEE9uLWxpbmUgU2VydmljZXMxFzAVBgNVBAMTDmQxLnN0YWxrZXIu Y29tMSIwIAYJKoZIhvcNAQkBFhNiaWxsQGRvbWFpbi5jb21wYW55MFwwDQYJKoZI hvcNAQEBBQADSwAwSAJBAKrbeqkuRk8VcRmWFmtP+LviMB3+6dizWW3DwaffznyH GAFwUJ/ITv0XtbsCyl3QoyKGhrOAy3RvPK5M38iuXT0CAwEAAaAAMA0GCSqGSIb3 DQEBBAUAA0EABFysKDutO/ZF16Sp7+LL3IcjUb29xlvZSnBXYsD/qWKqUF4gzfch 4Qyxci6ynsh7HNjdJBFdFyO+J2ywXZilYg== -----END CERTIFICATE REQUEST----- передайте этот запрос Центру Сертификации (Удостоверяющему Центру) и вставьте их ответ ниже
Введите Сертификат (в PEM формате)

Скопируйте текст CSR и передайте его в выбранный вами Центр Сертификации (CA). Вы можете передать его по электронной почте или через специальную Веб форму на сайте CA. Центр Сертификации должен вернуть вам подписанный Сертификат в PEM-формате. Введите Сертификат в поле внизу и нажмите кнопку Установить Сертификат.

Если Сертификат принимается, то отображается информация о нём:

Сертификат Домена
Кому Выдан:	Страна US Область CA Город Sausalito Организация ACME Yacht Rentals, Inc. Подразделение On-line Services Имя-Идентификатор d1.communigate.ru Контакт bill@domain.company
Кем Выдан:	Страна US Область CA Город Sausalito Организация ACME Yacht Rentals, Inc. Подразделение On-line Services Имя-Идентификатор d1.communigate.ru Контакт bill@domain.company
Серийный Номер:	89AB673940123456
Действителен:	От: 06-Нов-07 До: 05-Нов-09

Панель с информацией о Сертификате показывает имя Издателя Сертификата (Центра Сертификации), Тему Сертификата (данные, которые вы ввели и имя домена), серийный номер Сертификата и срок его действия.

Обратите внимание: введённый Закрытый Ключ будет использоваться для безопасного обмена информацией ТОЛЬКО при условии, что опция Услуги PKI Криптографии имеет значение Включено.

Обратите внимание: в Сертификате в данных "Темы" содержится имя Домена или Псевдонима Домена.
Когда вы переименовываете Домен в CommuniGate Pro, имя домена в Сертификате Домена не изменяется, и клиентские приложения могут начать предупреждать пользователей о несоответствии в имени.

Для того, чтобы удалить Сертификат Домена, нажмите на кнопку Удалить Сертификат.

Назначение Цепочки Сертификации

Если Издатель Сертификата известен программному обеспечению пользователя (почтовым программам и браузерам), то, когда клиент получает от Сервера Сертификат, предупреждающее сообщение на экране пользователя не появляется. Во многих случаях, "Доверенный Центр Сертификации" не выпускает сертификаты самостоятельно. Вместо этого, он делегирует право выпускать сертификату какому-нибудь третьему Центру Сертификации (Удостоверяющему Центру). Когда ваш Сервер использует Сертификат, выданный таким Центром Сертификации, Сервер так же должен предоставлять Сертификат этого Центра Сертификации, выданный "Доверенным Центром Сертификации". Программное обеспечение клиента проверит сначала ваш Сертификат, обнаружит, что эмитент вашего Сертификата не является "Доверенным Центром Сертификации", и затем проверит дополнительный Сертификат(ы), которые предоставил Сервер. Если такой дополнительный Сертификат выпущен "Доверенным Центром Сертификации", и он подтверждает эмитента вашего Сертификата Домена, то ваш Сертификат принимается без предупреждений.

Когда вы получаете Сертификат из Центра Сертификации, который не указан в списке "Доверенных Центров Сертификации" в клиентском программном обеспечении, то этот промежуточный Центр Сертификации так же должен предоставить вам свой собственный Сертификат, подписанный "Доверенным Центром Сертификации". Этот Сертификат должен быть в таком же PEM-формате, как и ваш Сертификат Домена:

Цепочка Сертификации (Необязательно)

-----BEGIN CERTIFICATE----- MIIEMTCCA5qgAwIBAgIQI2yXHivGDQv5dGDe8QjDwzANBgkqhkiG9w0BAQIFADBfMQswCQYD VQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsTLkNsYXNzIDMgUHVi bGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNOTcwNDE3MDAwMDAwWhcN MDQwMTA3MjM1OTU5WjCBujEfMB0GA1UEChMWVmVyaVNpZ24gVHJ1c3QgTmV0d29yazEXMBUG A1UECxMOVmVyaVNpZ24sIEluYy4xMzAxBgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwg U2VydmVyIENBIC0gQ2xhc3MgMzFJMEcGA1UECxNAd3d3LnZlcmlzaWduLmNvbS9DUFMgSW5j b3JwLmJ5IFJlZi4gTElBQklMSVRZIExURC4oYyk5NyBWZXJpU2lnbjCBnzANBgkqhkiG9w0B AQEFAAOBjQAwgYkCgYEA2IKA6NYZAn0fhRg5JaJlK+G/1AXTvOY2O6rwTGxbtueqPHNFVbLx veqXQu2aNAoV1Klc9UAl3dkHwTKydWzEyruj/lYncUOqY/UwPpMo5frxCTvzt01OOfdcSVq4 wR3Tsor+cDCVQsv+K1GLWjw6+SJPkLICp1OcTzTnqwSye28CAwEAAaOCAZAwggGMMA8GA1Ud EwQIMAYBAf8CAQAwCwYDVR0PBAQDAgEGMBEGCWCGSAGG+EIBAQQEAwIBBjAgBgNVHSUEGTAX BgpghkgBhvhFAQgBBglghkgBhvhCBAEwggE1BgNVHSAEggEsMIIBKDCCASQGC2CGSAGG+EUB BwEBMIIBEzAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL0NQUzCB5gYI KwYBBQUHAgIwgdkwFRYOVmVyaVNpZ24sIEluYy4wAwIBARqBv1ZlcmlTaWduJ3MgQ2VydGlm aWNhdGlvbiBQcmFjdGljZSBTdGF0ZW1lbnQsIHd3dy52ZXJpc2lnbi5jb20vQ1BTLCBnb3Zl cm5zIHRoaXMgY2VydGlmaWNhdGUgJiBpcyBpbmNvcnBvcmF0ZWQgYnkgcmVmZXJlbmNlIGhl cmVpbi4gU09NRSBXQVJSQU5USUVTIERJU0NMQUlNRUQgJiBMSUFCSUxJVFkgTFRELiAoYykx OTk3IFZlcmlTaWduMA0GCSqGSIb3DQEBAgUAA4GBALiMmMMrSPVyzWgNGrN0Y7uxWLaYRSLs EY3HTjOLYlohJGyawEK0Rak6+2fwkb4YH9VIGZNrjcs3S4bmfZv9jHiZ/4PC/NlVBp4xZkZ9 G3hg9FXUbFXIaWJwfE22iQYFm8hDjswMKNXRjM1GUOMxlmaSESQeSltLZl5lVR5fN5qu -----END CERTIFICATE-----

Цепочка Центров Сертификации (Удостоверяющих Центров) может включать несколько сертификатов: первый удостоверяет эмитента Сертификата Домена, который вы ввели, но сам может быть выпущен некоторым промежуточным центром сертификации. Следующий Сертификат удостоверяет этот промежуточный Центр Сертификации, и так далее. Последний Сертификат в цепочке должен быть выдан каким-нибудь центром сертификации, "известным" клиентскому программному обеспечению - обычно, каким-нибудь Корневым Центром Сертификации.

Если ваша Цепочка Центров Сертификации содержит несколько отдельных Сертификатов в PEM-формате, введите их всех в поле Цепочка Сертификации (Необязательно). Сертификат, выданный Корневым Центром Сертификации, должен быть последним в списке.

Нажмите на кнопку Установить Цепочку для назначения Домену Цепочки Сертификации. Если все Сертификаты в цепочке имеют правильный формат и успешно декодированы, то показывается список Цепочки Сертификации:

Цепочка Сертификации (Необязательно)
Кому Выдан:	Кем Выдан:	От	До
Организация VeriSign Trust Network Подразделение VeriSign, Inc. Подразделение VeriSign International Server CA - Class 3 Подразделение www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign	Страна US Организация VeriSign, Inc. Подразделение Class 3 Public Primary Certification Authority	17-Апр-97	08-Янв-04

Обратите внимание: CommuniGate Pro проверяет только формат каждого Сертификата в цепочке. Он не проверяет, например, что каждый Сертификат действительно удостоверяет эмитента предыдущего Сертификата, или что последний Сертификат выдан Корневым Центром Сертификации.

После того, как Цепочка Сертификации установлена, она отправляется клиентам вместе с Сертификатом Домена.

Нажмите на кнопку Удалить Цепочку для удаления Цепочки Сертификации из Установок Безопасности Домена.

Если вы не хотите использовать внешний Центр Сертификации, то вы можете создать Само-Подписанный Сертификат.
Нажмите на кнопку Создать Само-Подписанный и Сервер CommuniGate Pro создаст для вас Само-Подписанный Сертификат: издателем будет то лицо, которое вы указали, и Сертификат будет подписан Закрытым Ключом Домена. Если Домен имеет Само-Подписанный Сертификат, клиентские приложения будут предупреждать пользователя, что используемый сервер представил сертификат, "выпущенный неизвестным центром". Пользователи могут "установить" самоподписанные сертификаты, чтобы избежать появления этих предупреждений.

Когда клиентское приложение получает Сертификат, и его издатель не включён в их список Доверенных Центров Сертификации, приложение может показывать предупреждения или отказаться принять Сертификат.

Ваши пользователи могут "установить" ваш Сертификат Домена в свои списки Доверенных Центров Сертификации. После установки, Сертификат становится "доверенным". Для некоторых программ (такие, как Mac-версии Microsoft Outlook и Outlook Express), установка "недоверенного" Сертификата является единственным способом использования этого Сертификата для безопасного обмена информацией.

Для установки Сертификата Домена, пользователь должен использовать браузер и открыть через Веб Интерфейс Пользователя для требуемого Домена страницу входа. Если в Домене включены Сертификаты, то появится ссылка на Сертификат Безопасности. Пользователь должен перейти по этой ссылке для загрузки Сертификата Домена и "открыть" его. Браузер должен позволить пользователю проверить Сертификат и установить его в список Доверенных Центров Сертификации.

Если в Домене есть Само-Подписанный Сертификат, то на странице Веб Администрирования появляется кнопка "Обновить Само-Подписанный". Нажмите на эту кнопку что создать новый Само-Подписанный Сертификат с тем же самым серийным номером, но с новым сроком действия.

Сервер CommuniGate Pro может проверять действительность Сертификатов, которые ему предоставляют. Например, Веб Интерфейс Пользователя проверяет Сертификаты, когда показывает подписанные сообщения.

Сертификат считается действительным, если:

• он совпадает с одним из Доверенных Сертификатов, или
• он выдан одним из обладателей Доверенных Сертификатов.

Есть несколько наборов Доверенных Сертификатов:

• Встроенные доверенные Сертификаты: эти сертификаты устанавливаются вместе с Сервером CommuniGate Pro, и обновляются вместе с обновлением Сервера.
• Общесерверные и общекластерные Доверенные Сертификаты.
• Общие для Домена Доверенные Сертификаты.

Когда выполняется любая PKI-операция для какого-нибудь Домена (или для определённого Пользователя в этом Домене), проверяются следующие Доверенные Сертификаты:

• Доверенные Сертификаты Домена
• Общекластерные Доверенные Сертификаты, если Домен обслуживается в Кластере и общесерверные Доверенные Сертификаты, если Домен не обслуживается в Кластере
• встроенные Доверенные Сертификаты

Когда PKI-операция выполняется для нужд самой Системы (например, при установке исходящего TLS-соединения), проверяются следующие Доверенные Сертификаты:

• Общесерверные Доверенные Сертификаты
• Общекластерные Доверенные Сертификаты
• встроенные Доверенные Сертификаты

Используйте Веб Интерфейс Администратора для обновления Общсерверных и Общекластерных Доверенных Сертификатов. Откройте страницу Безопасность в разделе Пользователи. Откроется страница Доверенные Сертификаты:

	Кому Выдан:	Серийный Номер	От	До
	RSA Data Security, Inc.	02AD667E4E45FE5E576F3C98195EDDC0	09-Ноя-94	08-Янв-10
	Thawte Personal Freemail CA	00	01-Янв-96	01-Янв-21
	Thawte Personal Basic CA	00	01-Янв-96	01-Янв-21
	My Company CA	010256FF	01-Янв-96	01-Янв-21

Включённые в показываемый список Доверенные Сертификаты имеют слева кнопку-флажок. Для удаление выбранных Сертификатов, отметьте флажок и нажмите кнопку Удалить Помеченные.

В дополнение к показанным Сертификатам, Общие для Домена страницы показывают встроенные Доверенные Сертификаты и Общесерверные Доверенные Сертификаты (или Общекластерные для Распределенных Доменов).
Общесерверные и Общекластерные страницы с Доверенными Сертификатами показывают встроенные Доверенные Сертификаты.
Рядом с этими дополнительными сертификатами нет кнопки-флажка.

Введите Сертификат (в PEM формате)

-----BEGIN CERTIFICATE----- MIIDLTCCApagAwIBAgIBADANBgkqhkiG9w0BAQQFADCB0TELMAkGA1UEBhMCWkEx FTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJQ2FwZSBUb3duMRowGAYD VQQKExFUaGF3dGUgQ29uc3VsdGluZzEoMCYGA1UECxMfQ2VydGlmaWNhdGlvbiBT ZXJ2aWNlcyBEaXZpc2lvbjEkMCIGA1UEAxMbVGhhd3RlIFBlcnNvbmFsIEZyZWVt YWlsIENBMSswKQYJKoZIhvcNAQkBFhxwZXJzb25hbC1mcmVlbWFpbEB0aGF3dGUu Y29tMB4XDTk2MDEwMTAwMDAwMFoXDTIwMTIzMTIzNTk1OVowgdExCzAJBgNVBAYT AlpBMRUwEwYDVQQIEwxXZXN0ZXJuIENhcGUxEjAQBgNVBAcTCUNhcGUgVG93bjEa MBgGA1UEChMRVGhhd3RlIENvbnN1bHRpbmcxKDAmBgNVBAsTH0NlcnRpZmljYXRp b24gU2VydmljZXMgRGl2aXNpb24xJDAiBgNVBAMTG1RoYXd0ZSBQZXJzb25hbCBG cmVlbWFpbCBDQTErMCkGCSqGSIb3DQEJARYccGVyc29uYWwtZnJlZW1haWxAdGhh d3RlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1GnX1LCUZFtx6UfY DFG26nKRsIRefS0Nj3sS34UldSh0OkIsYyeflXtL734Zhx2G6qPduc6WZBrCFG5E rHzmj+hND3EfQDimAKOHePb5lIZererAXnbr2RSjXW56fAylS1V/Bhkpf56aJtVq uzgkCGqYx7Hao5iR/Xnb5VrEHLkCAwEAAaMTMBEwDwYDVR0TAQH/BAUwAwEB/zAN BgkqhkiG9w0BAQQFAAOBgQDH7JJ+Tvj1lqVnYiqk8E0RYNBvjWBYYawmu1I1XAjP MPuoSpaKH2JCI4wXD/S6ZJwXrEcp352YXtJsYHFcoqzceePnbgBHH7UNKOgCneSa /RP0ptl8sfjcXyMmCZGAc9AUG95DqYMl8uacLxXK/qarigd1iwzdUYRr5PjRznei gQ== -----END CERTIFICATE-----

Для того, чтобы добавить Сертификат, введите данные Сертификата в PEM-формате в текстовое поле и нажмите кнопку Установить Сертификат. В показываемом списке должен появиться новый Сертификат.

TLS (Безопасность Уровня Транспорта) протокол - это PKI-приложение, используемое для обеспечения безопасности и целостности данных, передаваемых между сторонами в процессе осуществления коммуникации. Стороны используют PKI-шифрование для безопасного обмена данными, являющимися "секретными ключами", а затем все данные, передаваемые между сторонами, шифруются с использованием этих "секретных ключей". Более ранняя версия TLS-протокола называлась SSL-протокол (протокол безопасных соединений).

Сервер CommuniGate Pro поддерживает SSL/TLS соединения для всех сервисов и модулей, использующих TCP. Безопасные соединения могут устанавливаться двумя способами:

• Клиентское приложение использует специальный порт для соединения с Сервером и начинает устанавливать TLS (зашифрованное) соединение сразу после установления TCP-соединения на этот порт. Этот метод используется всеми браузерами, при задании URL вида https://.
  Этот метод используется также, когда в SIP-клиенте активирована опция "TLS-транспорт".
  Некоторые почтовые клиенты используют её для POP, IMAP, LDAP и (редко) SMTP соединений.
  Для поддержки таких клиентов, настройте Приёмники для HTTP, SIP, POP, IMAP, SMTP и LDAP модулей: Приёмники должны принимать TCP-соединения на специальные порты (смотрите правильные Безопасные Номера Портов в описаниях модулей) и опция Начальный SSL/TLS должна быть включена для этих портов.
• Клиентское приложение использует стандартный порт для связи с Сервером, и затем передаёт специальную команду (обычно называемую STARTTLS или STLS) через установленное незащищенное TCP-соединение. Когда Сервер получает такую команду он начинает устанавливать безопасное соединение. Для поддержки таких клиентов вы не должны настраивать дополнительные порты в модуле Приёмники.

Обычно Сертификаты для SSL/TLS коммуникаций могут быть назначены только для таких Доменов CommuniGate Pro, которые имеют минимум один назначенный сетевой (IP) адрес. Это ограничение происходит из-за дизайна TLS-протокола, используемого сегодня: когда клиентское приложение хочет инициировать безопасное соединение, у Сервера нет информации о Домене, с которым хочет соединиться клиент. Сервер знает только, на какой местный IP-адрес обратился клиент, и поэтому он открывает тот Домен, которому назначен этот IP-адрес, и использует PKI Установки именно этого Домена.

Исключением из этого правила является XMPP протокол. До того, как XMPP клиент посылает команду starttls, он явно указывает имя требуемого домена в данных <stream>, и таким образом, Сервер может инициировать TLS-сессию с Доменом, который не имеет назначенного сетевого адреса.

Чтобы настроить Общесерверные параметры работы с SSL/TLS, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем откройте страницу Прочее:

Сессии TLS
Уровень Журнала:	КатастрофыСбоиОсновноеПроблемыПодробностиВсё	CBC Шифрования для старых TLS	Обрабатывать Имя адресуемого Домена
Время жизни:	15 сек30 секминуту2 мин3 мин5 мин10 мин15 мин30 минчас2 час.3 час.6 час.12 час.день2 дня3 днянеделю10 дней2 неделимесяц	Слабые Шифрования	Принимать SSLv2 'hello'
Mинимальная Версия:	SSLv3TLSv1.0TLSv1.1TLSv1.2		Отсоединяться получив неверный Сертификат

Уровень Журнала

Используйте эту настройку для того, чтобы указать какую информацию модуль TLS должен сохранять в Журнале работы Сервера. Записи, помещённые модулем TLS в Журнал работы Сервера, имеют пометку TLS.

Время жизни

Эта настройка указывает время кэширования TLS-сессий. Когда все соединения, использующие TLS-сессию, закрываются, Сервер будет ждать указанное время до удаления параметров TLS-сессии. Эта возможность позволяет клиентам устанавливать новые соединения, возобновляя старые TLS-сессии. Это уменьшает время создания соединений и снижает загрузку Сервером центрального процессора. Эта возможность особенно важна для HTTP-клиентов, открывающих и закрывающих соединения очень часто.

Mинимальная Версия

Эта установка задаёт самую старую допустимую версию протокола SSL/TLS. Если удалённая сторона указывает поддержку версии SSL/TLS старее, чем указано в этой установке, то попытка создания безопасного соединения отвергается.
Этот параметр действует только на входящие соединения.

Обрабатывать Имя адресуемого Домена

Если эта установка включена, сервер поддерживает расширение протокола TLS, которое позволяет клиентам указываеть имя Домена Сервера, к которому они подсоединяются. Это свойство позволяет обслуживать несколько доменов с использованием TLS, используя единственный сетевой адрес IP.

CBC Шифрования для старых TLS

Выберите эту настройку, если вы хотите поддерживать методы шифрования CBC с SSL 3.0 и TLS 1.0. Методы шифрования CBC всегда поддерживаются для пакетных протоколов (DTLS).

Слабые Шифрования

Выберите эту настройку, если вы хотите поддерживать слабую (менее чем 128-битную) безопасность (методы кодирования). Также должна быть включена установка поддержки Методов шифрования CBC .

Принимать SSLv2 'hello'

Если включена эта установка, Сервер принимает начальные запросы в стиле протокола SSL 2.0, используемые многими старыми клиентами.
Обратите внимание: даже когда эта установка включена, для самого соединения используется протокол SSL 3.0 или TLS, протокол SSL 2.0 для соединения не используется. Нет разумной причины выключать эту настройку - разве только для прохождения "тестов на безопасность".

Отсоединяться получив неверный Сертификат

Если Сервер потребовал от клиента предоставления Сертификата, то клиент может отправить некорректный сертификат: просроченный, выданный другому пользователю и т.д.
Если включена это опция, то процесс установления TLS соединения будет прерываться. Если эта опция выключена, то некорректные сертификаты игнорируются.

Сервер CommuniGate Pro может затребовать Сертификат Клиента в случаях, когда внешний клиент (почтовая программа, браузер или устройство для коммуникаций в реальном времени) устанавливает TLS соединение с определённым Доменом.

Через Веб Интерфейс Администратора откройте страницу Установки Домена для этого Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:

Запрашивать Сертификаты у Клиентов
Кем Выдан:	Certificate Name 1Certificate Name 2Certificate Name 3	Обязателен:	По умолчанию(Нет)НетДа

Кем Выдан

Выберите один из Доверенных Сертификатов, указанных для этого Домена.
Когда Доверенный Сертификат выбран, то от TLS-клиента, устанавливающего соединение с этим Доменом, будет потребовано предоставление действительного сертификата, выпущенного владельцем выбранного Доверенного Сертификата. Эти сертификаты могут использоваться для Аутентификации По Сертификату.

Обязателен

Если указана эта опция, то TLS соединения с Доменом смогут устанавливать только клиенты, предоставляющие действительные Сертификаты.

Сервер CommuniGate Pro обрабатывает запросы на клиентские сертификаты при установлении соединений TLS с внешними серверами (по протоколам SMTP, XMPP, SIP, POP и другим). В качестве клиентского при этом отправляется Сертификат TLS, установленный в Главном Домене.

S/MIME - это PKI приложение, используемое для цифровой подписи, а также шифрования почтовых и других сообщений. Если TLS обеспечивает безопасность данных в момент пересылки по незащищённой сети, такой как Интернет, то S/MIME обеспечивает безопасность данных между конечными пользователями: S/MIME сообщение шифруется отправителем (с использованием Многостороннего Шифрования) и передаётся на сервер отправителя в зашифрованной форме. Та же зашифрованная форма используется, когда сообщение передаётся через сеть, когда оно хранится на промежуточных серверах, и когда оно помещается в папки получателей. Только получатели, используя свои Закрытые Ключи, могут расшифровать сообщение и только в тот момент, когда они фактически читают сообщение: само сообщение остаётся зашифрованным в папках получателей.

Для того, чтобы конечные пользователи могли использовать S/MIME безопасность, все они должны обладать своими собственными PKI-ключами. Каждый пользователь должен иметь Закрытый Ключ, безопасно хранящийся в месте, доступном только для этого пользователя, и соответствующий ему Открытый Ключ, встроенный в Сертификат. Этот Сертификат должен быть выдан Центром Сертификации (Удостоверяющим Центром), которому доверяют другие пользователи.

Веб Интерфейс Пользователя и XIMSS Интерфейс CommuniGate Pro поддерживают функциональность S/MIME. Сервер обеспечивает безопасное хранение Закрытых Ключей пользователей. Эти ключи могут быть разблокированы и использованы исключительно самими пользователями через указанные Интерфейсы.

Чтобы использовать обычное клиентское приложение на компьютере пользователя (POP, IMAP, или MAPI клиент), Закрытый Ключ пользователя должен храниться в специальном PKI-хранилище операционной системы компьютера.
Веб Интерфейс Пользователя и XIMSS Интерфейс могут экспортировать и импортировать Закрытые Ключи, так что пользователи могут использовать один и тот же Закрытый Ключ как для приложений, запущенных на своём компьютере, так и при работе через Интерфейсы. Дополнительную информацию смотрите в разделе Безопасная почта.

В Сервере CommuniGate Pro используется Сертификат Сервера, выдающий Сертификаты пользователям.

Домен CommuniGate Pro может выступать как Центр Сертификации (Удостоверяющий Центр) для всех его Пользователей, если:

• Опция Услуги PKI Криптографии Включена.
• Домен имеет действительный Закрытый Ключ.
• Домен имеет действительный специальные S/MIME Сертификат.

Чтобы задать S/MIME Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку S/MIME. Если Домен имеет действительный Закрытый Ключ, то показывается страница, подобная той, что показывается при работе с обычным Доменным Сертификатом. Эти поля используются для ввода специального S/MIME сертификата Домена. Этот Сертификат используется как Издатель (Центр Сертификации) для всех S/MIME Сертификатов, запрашиваемых пользователями в этом Домене.

Возможности S/MIME могут быть использованы для безопасного хранения сообщений. CommuniGate Pro может зашифровывать все или только определённые сообщения до сохранения их в папках пользователей.

Действие Записать Зашифровано в, задаваемое в Правилах, используется для шифрования всех входящих сообщений электронной почты и хранения их в указанной папке.

Сообщения шифруются S/MIME Сертификатом владельца папки. Если действие Записать Зашифровано в, заданное в Правилах, используется в Правиле уровня Пользователя (то есть Правила, заданного Пользователем или Правила, Общего для Домена), и указанная папка не принадлежит Пользователю, сообщение шифруется при помощи Сертификата владельца папки и текущего Пользователя.

Пример:

Пользователь под именем john имеет Правило, которое выполняет следующее действие:
Записать Зашифровано в   ~jim/INBOX
Когда выполняется это действие, сообщение сохраняется зашифрованным с использованием обоих Сертификатов john и jim в Папке INBOX Пользователя jim. И john, и jim смогут расшифровать и прочитать это сообщение.

После того, как пользователь CommuniGate Pro получил некие незашифрованные сообщения, он может предпочесть хранить их в Папках на Сервере зашифрованными. MAPI и XIMSS клиенты, а также Веб Интерфейс Пользователя обеспечивают функции Зашифровать и Расшифровать, которые позволяют пользователям зашифровывать и расшифровывать отдельные сообщения в своих Папках.

DKIM (DomainKeys Identified Mail) это метод аутентификации E-mail сообщений, основанный на добавлении к письму особого заголовка с цифровой Подписью. Подпись создаётся методом шифрования на основе Закрытого и Открытого Ключей. Принимающий сервер может использовать Открытый Ключ, чтобы проверить, что Подпись соответствует Закрытому Ключу, и что тело письма и наиболее важные заголовки не были изменены в процессе пересылки.

Чтобы задать DKIM Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку DKIM.

Чтобы включить добавление Подписей к исходящим сообщениям, нужно выполнить следующие шаги:

1. Создать (или импортировать созданный внешней утилитой) Закрытый Ключ, подобно назначению Закрытого Ключа для Домена.
   После того, как Закрытый Ключ будет назначен, соответствующий Открытый Ключ будет показан.

   Закрытый Ключ
   Размер:	1024 bit
   Тест Ключа:	Verification String is OK

   Открытый Ключ

   MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDjLml46+DMPGpLpSQROFxyNnyFcyX9ZtscLo3YegyhB266JOYNzlfdPU4gBKWS89lnr2yVWC6dUgIVInJhin+stzROZ1MBd9dx6iOE4xAC2LxZeYvzjT07CoXzfdyb35N1TpSfL09ERXilNUgAoDqTAaJ+eGeN+N45LQTPtd0+QQIDAQAB

   
   
2. Задать значение для поля Домен - это должно быть имя текущего Домена, или имя соответствующего домена верхнего уровня.
3. Выбрать и задать значение поля Селектор - произвольную строчку.

Параметры DKIM-Подписи
Домен:	mail.dept1.company.com
Селектор:	mail



4. Создать DNS TXT запись для имени Selector._domainkey.Domain со значением "v=DKIM1; p=MIGfMA0GCSqG..." где значение "p=" - это Ваш Открытый Ключ.
5. Используйте кнопку Проверить, чтобы убедиться, что DNS-запись существует и содержит правильный Открытый Ключ. Учтите, что для новосозданных DNS записей требуется время, чтобы распространиться по всему миру.

DNS Запись

feb2017._domainkey.company.com text = "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDjLml46+DMPGpLpSQROFxyNnyFcyX9ZtscLo3YegyhB266JOYNzlfdPU4gBKWS89lnr2yVWC6dUgIVInJhin+stzROZ1MBd9dx6iOE4xAC2LxZeYvzjT07CoXzfdyb35N1TpSfL09ERXilNUgAoDqTAaJ+eGeN+N45LQTPtd0+QQIDAQAB"



6. После того, как все вышеперечисленные шаги завершены, переключите значение Включено на Да

Подписывать исходящие Сообщения

Включено: НетДа

Рекомендуется регулярно (приблизительно раз в 3 месяца) производить ротацию Ключей, путём генерации нового Закрытого Ключа и создания новой DNS-Записи с новым Селектором.

Обратите внимание: DKIM Подписи составляются компонентой Enqueuer при постановке сообщения в Очередь, но физически добавляются, когда сообщение сохраняется или отправляется.

Обратите внимание: В процессе составления DKIM Подписей принадлежность сообщения к Домену определяется адресом в заголовке From: сообщения. Пользователь из другого Домена может изменить адрес в From: так, что его письма будут подписываться согласно настройкам текущего Домена. Также, сообщения, пересылаемые через CommuniGate сервер из внешних источников, могут быть подписаны текущим Доменом, если их адреса в From: совпадают с именами объектов в текущем Домене.