|
Версия 6.4 |
|
| ||||||||||||||||||||||||||||||||||||
Терминология PKI
Установки PKI ДоменаВ каждом Домене CommuniGate Pro есть свои собственные Установки PKI. Они включают в себя Закрытый Ключ, связанный с Доменом, и Сертификаты, содержащие Открытый Ключ.
Для изменения Установок PKI для какого-либо Домена, откройте через Веб Интерфейс Администратора страницу Установки Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI: Эта опция позволяет вам выбрать режим PKI для этого Домена:
Назначение Закрытого КлючаПервоначально Домены CommuniGate Pro не имеют Закрытых Ключей. Вы должны ввести размер ключа и нажать на кнопку Сгенерировать Ключ для создания случайного Закрытого Ключа и назначения его этому Домену. Обратите внимание: в зависимости от платформы, на которой работает сервер, может потребоваться несколько секунд для создания 2048-битового Ключа. Только после назначения Закрытого Ключа на странице Безопасность появятся поля, связанные с Сертификатами. Для того, чтобы создать Закрытый Ключ, вы можете использовать программы сторонних производителей (такие, как OpenSSL). Вы должны указать такой программе вывести Закрытый Ключ в PEM формате (как показано ниже). Обратите внимание: Убедитесь, что импортируемый ключ не зашифрован паролем. Текст, первые строки в котором имеют примерно такой вид: -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-CBC,90C96A721C4E4B0B GzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx .................свидетельствует, что Закрытый Ключ зашифрован и не может быть импортирован на Сервер. Если Закрытый Ключ установлен корректно, и этот Ключ может использоваться для асимметричной криптографии, вы увидите следующую панель: Если в поле Тест Ключа содержится указание на ошибку, импортируемый Закрытый Ключ не может использоваться в асимметричной криптографии. Используйте кнопку Удалить Ключи и Сертификат, чтобы удалить введённый Закрытый Ключ Домена. Так как Сертификат Домена может использоваться совместно с одним и только одним Закрытым Ключом, то он станет бесполезным, когда вы удалите Закрытый Ключ; таким образом существующий Сертификат Домена также будет удалён. Назначение СертификатаДля поддержи функций Инфраструктуры Открытых Ключей, Домен должен иметь Сертификат. Имя Сертификата Домена (часть Имени-Идентификатора поля Тема Сертификата) должно соответствовать имени домена, используемого клиентскими приложениями. Вы так же можете использовать "шаблон подстановки" имён домена для ваших сертификатов. Если имя Домена имеет минимум 2 компоненты, то меню Имя-Идентификатор будет содержать "шаблон подстановки" имени Домена: первая компонента имени Домена будет заменена символом звёздочка (*). Если имя Домена состоит из только двух компонент, то компонент звёздочка будет добавлен для формирования трехкомпонентного имени. Для создания Сертификата, заполните все поля в таблице Атрибутов Сертификата:
Все другие поля являются необязательными для заполнения. Для того, чтобы получить Сертификат из внешнего источника, (из "доверенного центра сертификации"), нажмите кнопку "Создать Запрос на Подписание". Появится текстовое поле, содержащее CSR (Запрос на Подписание Сертификата) в PEM-формате: Скопируйте текст CSR и передайте его в выбранный вами Центр Сертификации (CA). Вы можете передать его по электронной почте или через специальную Веб форму на сайте CA. Центр Сертификации должен вернуть вам подписанный Сертификат в PEM-формате. Введите Сертификат в поле внизу и нажмите кнопку Установить Сертификат. Если Сертификат принимается, то отображается информация о нём: Панель с информацией о Сертификате показывает имя Издателя Сертификата (Центра Сертификации), Тему Сертификата (данные, которые вы ввели и имя домена), серийный номер Сертификата и срок его действия. Обратите внимание: введённый Закрытый Ключ будет использоваться для безопасного обмена информацией ТОЛЬКО при условии, что опция Услуги PKI Криптографии имеет значение Включено. Обратите внимание: в Сертификате в данных "Темы" содержится имя Домена или Псевдонима Домена. Для того, чтобы удалить Сертификат Домена, нажмите на кнопку Удалить Сертификат. Назначение Цепочки СертификацииЕсли Издатель Сертификата известен программному обеспечению пользователя (почтовым программам и браузерам), то, когда клиент получает от Сервера Сертификат, предупреждающее сообщение на экране пользователя не появляется. Во многих случаях, "Доверенный Центр Сертификации" не выпускает сертификаты самостоятельно. Вместо этого, он делегирует право выпускать сертификату какому-нибудь третьему Центру Сертификации (Удостоверяющему Центру). Когда ваш Сервер использует Сертификат, выданный таким Центром Сертификации, Сервер так же должен предоставлять Сертификат этого Центра Сертификации, выданный "Доверенным Центром Сертификации". Программное обеспечение клиента проверит сначала ваш Сертификат, обнаружит, что эмитент вашего Сертификата не является "Доверенным Центром Сертификации", и затем проверит дополнительный Сертификат(ы), которые предоставил Сервер. Если такой дополнительный Сертификат выпущен "Доверенным Центром Сертификации", и он подтверждает эмитента вашего Сертификата Домена, то ваш Сертификат принимается без предупреждений. Когда вы получаете Сертификат из Центра Сертификации, который не указан в списке "Доверенных Центров Сертификации" в клиентском программном обеспечении, то этот промежуточный Центр Сертификации так же должен предоставить вам свой собственный Сертификат, подписанный "Доверенным Центром Сертификации". Этот Сертификат должен быть в таком же PEM-формате, как и ваш Сертификат Домена: Цепочка Центров Сертификации (Удостоверяющих Центров) может включать несколько сертификатов: первый удостоверяет эмитента Сертификата Домена, который вы ввели, но сам может быть выпущен некоторым промежуточным центром сертификации. Следующий Сертификат удостоверяет этот промежуточный Центр Сертификации, и так далее. Последний Сертификат в цепочке должен быть выдан каким-нибудь центром сертификации, "известным" клиентскому программному обеспечению - обычно, каким-нибудь Корневым Центром Сертификации. Если ваша Цепочка Центров Сертификации содержит несколько отдельных Сертификатов в PEM-формате, введите их всех в поле Цепочка Сертификации (Необязательно). Сертификат, выданный Корневым Центром Сертификации, должен быть последним в списке. Нажмите на кнопку Установить Цепочку для назначения Домену Цепочки Сертификации. Если все Сертификаты в цепочке имеют правильный формат и успешно декодированы, то показывается список Цепочки Сертификации: Обратите внимание: CommuniGate Pro проверяет только формат каждого Сертификата в цепочке. Он не проверяет, например, что каждый Сертификат действительно удостоверяет эмитента предыдущего Сертификата, или что последний Сертификат выдан Корневым Центром Сертификации. После того, как Цепочка Сертификации установлена, она отправляется клиентам вместе с Сертификатом Домена. Нажмите на кнопку Удалить Цепочку для удаления Цепочки Сертификации из Установок Безопасности Домена. Использование Само-Подписанных СертификатовЕсли вы не хотите использовать внешний Центр Сертификации, то вы можете создать Само-Подписанный Сертификат. Когда клиентское приложение получает Сертификат, и его издатель не включён в их список Доверенных Центров Сертификации, приложение может показывать предупреждения или отказаться принять Сертификат. Ваши пользователи могут "установить" ваш Сертификат Домена в свои списки Доверенных Центров Сертификации. После установки, Сертификат становится "доверенным". Для некоторых программ (такие, как Mac-версии Microsoft Outlook и Outlook Express), установка "недоверенного" Сертификата является единственным способом использования этого Сертификата для безопасного обмена информацией. Для установки Сертификата Домена, пользователь должен использовать браузер и открыть через Веб Интерфейс Пользователя для требуемого Домена страницу входа. Если в Домене включены Сертификаты, то появится ссылка на Сертификат Безопасности. Пользователь должен перейти по этой ссылке для загрузки Сертификата Домена и "открыть" его. Браузер должен позволить пользователю проверить Сертификат и установить его в список Доверенных Центров Сертификации. Если в Домене есть Само-Подписанный Сертификат, то на странице Веб Администрирования появляется кнопка "Обновить Само-Подписанный". Нажмите на эту кнопку что создать новый Само-Подписанный Сертификат с тем же самым серийным номером, но с новым сроком действия. Доверенные Корневые СертификатыСервер CommuniGate Pro может проверять действительность Сертификатов, которые ему предоставляют. Например, Веб Интерфейс Пользователя проверяет Сертификаты, когда показывает подписанные сообщения.
Сертификат считается действительным, если:
Есть несколько наборов Доверенных Сертификатов:
Когда выполняется любая PKI-операция для какого-нибудь Домена (или для определённого Пользователя в этом Домене), проверяются следующие Доверенные Сертификаты:
Когда PKI-операция выполняется для нужд самой Системы (например, при установке исходящего TLS-соединения), проверяются следующие Доверенные Сертификаты:
Используйте Веб Интерфейс Администратора для обновления Общсерверных и Общекластерных Доверенных Сертификатов. Откройте страницу Безопасность в разделе Пользователи. Откроется страница Доверенные Сертификаты: Включённые в показываемый список Доверенные Сертификаты имеют слева кнопку-флажок. Для удаление выбранных Сертификатов, отметьте флажок и нажмите кнопку Удалить Помеченные. В дополнение к показанным Сертификатам, Общие для Домена страницы показывают встроенные Доверенные Сертификаты и Общесерверные Доверенные Сертификаты (или Общекластерные для Распределенных Доменов). Для того, чтобы добавить Сертификат, введите данные Сертификата в PEM-формате в текстовое поле и нажмите кнопку Установить Сертификат. В показываемом списке должен появиться новый Сертификат. Безопасные Соединения SSL/TLSTLS (Безопасность Уровня Транспорта) протокол - это PKI-приложение, используемое для обеспечения безопасности и целостности данных, передаваемых между сторонами в процессе осуществления коммуникации. Стороны используют PKI-шифрование для безопасного обмена данными, являющимися "секретными ключами", а затем все данные, передаваемые между сторонами, шифруются с использованием этих "секретных ключей". Более ранняя версия TLS-протокола называлась SSL-протокол (протокол безопасных соединений).
Сервер CommuniGate Pro поддерживает SSL/TLS соединения для всех сервисов и модулей, использующих TCP. Безопасные соединения могут устанавливаться двумя способами:
Обычно Сертификаты для SSL/TLS коммуникаций могут быть назначены только для таких Доменов CommuniGate Pro, которые имеют минимум один назначенный сетевой (IP) адрес. Это ограничение происходит из-за дизайна TLS-протокола, используемого сегодня: когда клиентское приложение хочет инициировать безопасное соединение, у Сервера нет информации о Домене, с которым хочет соединиться клиент. Сервер знает только, на какой местный IP-адрес обратился клиент, и поэтому он открывает тот Домен, которому назначен этот IP-адрес, и использует PKI Установки именно этого Домена. Исключением из этого правила является XMPP протокол. До того, как XMPP клиент посылает команду starttls, он явно указывает имя требуемого домена в данных <stream>, и таким образом, Сервер может инициировать TLS-сессию с Доменом, который не имеет назначенного сетевого адреса. Чтобы настроить Общесерверные параметры работы с SSL/TLS, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем откройте страницу Прочее:
Сертификаты КлиентовСервер CommuniGate Pro может затребовать Сертификат Клиента в случаях, когда внешний клиент (почтовая программа, браузер или устройство для коммуникаций в реальном времени) устанавливает TLS соединение с определённым Доменом. Через Веб Интерфейс Администратора откройте страницу Установки Домена для этого Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:
Сервер CommuniGate Pro обрабатывает запросы на клиентские сертификаты при установлении соединений TLS с внешними серверами (по протоколам SMTP, XMPP, SIP, POP и другим). В качестве клиентского при этом отправляется Сертификат TLS, установленный в Главном Домене. Функциональность S/MIMES/MIME - это PKI приложение, используемое для цифровой подписи, а также шифрования почтовых и других сообщений. Если TLS обеспечивает безопасность данных в момент пересылки по незащищённой сети, такой как Интернет, то S/MIME обеспечивает безопасность данных между конечными пользователями: S/MIME сообщение шифруется отправителем (с использованием Многостороннего Шифрования) и передаётся на сервер отправителя в зашифрованной форме. Та же зашифрованная форма используется, когда сообщение передаётся через сеть, когда оно хранится на промежуточных серверах, и когда оно помещается в папки получателей. Только получатели, используя свои Закрытые Ключи, могут расшифровать сообщение и только в тот момент, когда они фактически читают сообщение: само сообщение остаётся зашифрованным в папках получателей.
Для того, чтобы конечные пользователи могли использовать S/MIME безопасность, все они должны обладать своими собственными PKI-ключами. Каждый пользователь должен иметь Закрытый Ключ, безопасно хранящийся в месте, доступном только для этого пользователя, и соответствующий ему Открытый Ключ, встроенный в Сертификат. Этот Сертификат должен быть выдан Центром Сертификации (Удостоверяющим Центром), которому доверяют другие пользователи. Веб Интерфейс Пользователя и XIMSS Интерфейс CommuniGate Pro поддерживают функциональность S/MIME. Сервер обеспечивает безопасное хранение Закрытых Ключей пользователей. Эти ключи могут быть разблокированы и использованы исключительно самими пользователями через указанные Интерфейсы. Чтобы использовать обычное клиентское приложение на компьютере пользователя (POP, IMAP, или MAPI клиент), Закрытый Ключ пользователя должен храниться в специальном PKI-хранилище операционной системы компьютера. Установки S/MIME ДоменаВ Сервере CommuniGate Pro используется Сертификат Сервера, выдающий Сертификаты пользователям. Домен CommuniGate Pro может выступать как Центр Сертификации (Удостоверяющий Центр) для всех его Пользователей, если:
Чтобы задать S/MIME Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку S/MIME. Если Домен имеет действительный Закрытый Ключ, то показывается страница, подобная той, что показывается при работе с обычным Доменным Сертификатом. Эти поля используются для ввода специального S/MIME сертификата Домена. Этот Сертификат используется как Издатель (Центр Сертификации) для всех S/MIME Сертификатов, запрашиваемых пользователями в этом Домене. Автоматическое Шифрование S/MIMEВозможности S/MIME могут быть использованы для безопасного хранения сообщений. CommuniGate Pro может зашифровывать все или только определённые сообщения до сохранения их в папках пользователей. Действие Записать Зашифровано в, задаваемое в Правилах, используется для шифрования всех входящих сообщений электронной почты и хранения их в указанной папке. Сообщения шифруются S/MIME Сертификатом владельца папки. Если действие Записать Зашифровано в, заданное в Правилах, используется в Правиле уровня Пользователя (то есть Правила, заданного Пользователем или Правила, Общего для Домена), и указанная папка не принадлежит Пользователю, сообщение шифруется при помощи Сертификата владельца папки и текущего Пользователя.
Шифрование Хранимых СообщенийПосле того, как пользователь CommuniGate Pro получил некие незашифрованные сообщения, он может предпочесть хранить их в Папках на Сервере зашифрованными. MAPI и XIMSS клиенты, а также Веб Интерфейс Пользователя обеспечивают функции Зашифровать и Расшифровать, которые позволяют пользователям зашифровывать и расшифровывать отдельные сообщения в своих Папках. Добавление DKIM-ПодписиDKIM (DomainKeys Identified Mail) это метод аутентификации E-mail сообщений, основанный на добавлении к письму особого заголовка с цифровой Подписью. Подпись создаётся методом шифрования на основе Закрытого и Открытого Ключей. Принимающий сервер может использовать Открытый Ключ, чтобы проверить, что Подпись соответствует Закрытому Ключу, и что тело письма и наиболее важные заголовки не были изменены в процессе пересылки. Чтобы задать DKIM Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку DKIM. Чтобы включить добавление Подписей к исходящим сообщениям, нужно выполнить следующие шаги:
Рекомендуется регулярно (приблизительно раз в 3 месяца) производить ротацию Ключей, путём генерации нового Закрытого Ключа и создания новой DNS-Записи с новым Селектором. Обратите внимание: DKIM Подписи составляются компонентой Enqueuer при постановке сообщения в Очередь, но физически добавляются, когда сообщение сохраняется или отправляется. Обратите внимание: В процессе составления DKIM Подписей принадлежность сообщения к Домену определяется адресом в заголовке From: сообщения. Пользователь из другого Домена может изменить адрес в From: так, что его письма будут подписываться согласно настройкам текущего Домена. Также, сообщения, пересылаемые через CommuniGate сервер из внешних источников, могут быть подписаны текущим Доменом, если их адреса в From: совпадают с именами объектов в текущем Домене. |