Администрирование |
|---|
| ||||||||||
|
|
Версия 5.1 |
||||||||||||||||||||||||||||||||
|
|
Для изменения Установок PKI для какого-либо Домена, откройте через Веб Интерфейс Администратора страницу Установки Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:
Эта опция позволяет вам выбрать используемый режим PKI для этого Домена:
Первоначально Домены CommuniGate Pro не имеют назначенных Закрытых Ключей. Вы должны ввести размер ключа и нажать на кнопку Сгенерировать Ключ для создания случайного Закрытого Ключа и назначения его этому Домену.
Обратите внимание: в зависимости от платформы, на которой работает сервер, может потребоваться несколько секунд для создания 2048-битового Ключа.
Только после назначения Закрытого Ключа на странице Безопасность появятся поля, связанные с Сертификатами.
Для того, что бы сгенерировать Закрытый Ключ, вы можете использовать программы сторонних производителей (такие, как OpenSSL). Вы должны указать такой программе вывести Закрытый Ключ в PEM формате (как показано ниже).
Выберите пункт Импортировать в меню Размер Ключа и нажмите на кнопку Сгенерировать Ключ. Появится текстовое поле. Скопируйте Закрытый Ключ (в PEM формате) в это текстовое поле, и нажмите на кнопку Сгенерировать Ключ:
Обратите внимание: Убедитесь, что импортируемый ключ не зашифрован паролем. Текст, первые строки в котором имеют примерно такой вид:
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-CBC,90C96A721C4E4B0B GzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx .................свидетельствует, что Закрытый Ключ зашифрован и не может быть импортирован на Сервер.
Если Закрытый Ключ установлен корректно и этот Ключ может использоваться для ассиметричной криптографии, вы увидите следующую панель:
Если в поле Тест Ключа содержится указание на ошибку, импортируемый Закрытый Ключ не может использоваться в ассиметричной криптографии.
Используйте кнопку Удалить Ключи и Сертификат что бы удалить введённый Закрытый Ключ Домена. Так как Сертификат Домена может использоваться совместно с одним и только одним Закрытым Ключом, то он станет бесполезным, когда вы удалите Закрытый Ключ; таким образом существующий Сертификат Домена также будет удален.
Для поддержи функций Инфраструктуры Открытых Ключей, Домен должен иметь Сертификат.
Имя Сертификата Домена (часть Имени-Идентификатора поля Тема Сертификата) должно соответствовать имени домена, используемого клиентскими приложениями.
Если Домен CommuniGate Pro имеет Псевдонимы Домена, попытки соединения с Сервером с использованием Псевдонима Домена приведут к появлению предупреждения на компьютере клиента, уведомляющего пользователя о несоответствии в именах. Так как Сертификат может содержать только одно имя, выбирайте имя (реальное имя Домена или один из Псевдонимов Домена), которое будут использовать ваши пользователи в своих клиентских приложениях. Если имя вашего Домена CommuniGate Pro company.dom, и это имя домена не имеет A-записи в DNS, но Домен имеет псевдоним mail.company.dom, который, в свою очередь, имеет A-запись в DNS, указывающую на Сервер CommuniGate Pro, то ваши пользователи будут использовать имя mail.company.dom в настройках своих клиентских приложений и в URL Веб Интерфейса Пользователя, так что Сертификат Домена должен быть выпущен на имя mail.company.dom, а не на company.dom.
Вы так же можете использовать "шаблон подстановки" имен домена для ваших сертификатов. Если имя Домена имеет минимум 2 компоненты, то меню Имя-Идентификатор будет содержать "шаблон подстановки" имени Домена: первая компонента имени Домена будет заменена символом звёздочка (*). Если имя Домена состоит из только двух компонент, то компонент звёздочка будет добавлен для формирования трехкомпонентного имени.
Для создания Сертификата, заполните все поля в таблице Атрибутов Сертификата:
Все другие поля являются необязательными для заполнения.
Если вы не хотите использовать внешний Центр Сертификации, то вы можете создать Само-Подписанный Сертификат.
Нажмите на кнопку Создать Само-Подписанный и Сервер CommuniGate Pro создаст для вас Само-Подписанный Сертификат: Эмитентом будет то лицо, которое вы указали, и Сертификат будет подписан Закрытым Ключом Домена. Если Домен имеет Само-Подписанный Сертификат, клиентские приложения будут предупреждать пользователя, что используемый сервер представил сертификат, "выпущенный неизвестным центром". Пользователи могут "установить" само-подписанные сертификаты для того, что бы избежать появления этих предупреждений.
Вы можете нажать на кнопку Создать Само-Подписанный, когда Само-Подписанный Сертификат уже назначен. В этом случае Сервер создаст новый Само-Подписанный Сертификат с тем же самый серийным номером, но с новым сроком действия.
Для того, что бы получить Сертификат из внешнего источника, (из "доверенного центра сертификации"), нажмите кнопку "Создать Запрос на Подписание". Появиться текстовое поле, содержащее CSR (Запрос на Подписание Сертификата) в PEM-формате:
Скопируйте текст CSR и передайте его в выбранный вами Центр Сертификации (CA). Вы можете передать его по электронной почте или через специальную Веб форму на сайте CA. Центр Сертификации должен вернуть вам подписанный Сертификат в PEM-формате. Введите Сертификат в поле внизу и нажмите кнопку Установить Сертификат.
Если Сертификат принимается, то отображается информация о нём:
Панель с информацией о Сертификата показывает имя Эмитента Сертификата (Центра Сертификации), Тему Сертификата (данные, которые вы ввели и имя домена), серийный номер Сертификата и срок его действия.
Обратите внимание: введённый Закрытый Ключ будет использоваться для безопасного обмена информацией ТОЛЬКО при условии, что опция Услуги PKI Криптографии имеет значение Включено.
Обратите внимание: в Сертификате в данных "Темы" содержится имя Домена или Псевдонима Домена.
Когда вы переименовываете Домен в CommuniGate Pro, имя домена в Сертификате Домена не изменяется, и клиентские приложения могут начать предупреждать пользователей о несоответствии в имени.
Для того, что бы удалить Сертификат Домена, нажмите на кнопку Удалить Сертификат.
Если Эмитент Сертификата известен программному обеспечению пользователя (почтовым программам и браузерам), то когда клиент получает от Сервера Сертификат, предупреждающее сообщение на экране пользователя не появляется. Во многих случаях, "Доверенный Центр Сертификации" не выпускает сертификаты самостоятельно. Вместо этого, он делегирует право выпускать сертификату какому-нибудь третьему Центру Сертификации (Удостоверяющему Центру). Когда ваш Сервер использует Сертификат, выданный таким Центром Сертификации, Сервер так же должен предоставлять Сертификат этого Центра Сертификации, выданный "Доверенным Центром Сертификации". Программное обеспечение клиента проверит сначала ваш Сертификат, обнаружит, что эмитент вашего Сертификата не является "Доверенным Центром Сертификации", и затем проверит дополнительный Сертификат(ы), которые предоставил Сервер. Если такой дополнительный Сертификат выпущен "Доверенным Центром Сертификации", и он подтверждает эмитента вашего Сертификата Домена, то ваш Сертификат принимается без предупреждений.
Когда вы получаете Сертификат из Центра Сертификации, который не указан в списке "Доверенных Центров Сертификации" в клиентском программном обеспечении, то этот промежуточный Центр Сертификации так же должен предоставить вам свой собственный Сертификат, подписанный "Доверенным Центром Сертификации". Этот Сертификат должен быть в таком же PEM-формате, как и ваш Сертификат Домена:
Цепочка Центров Сертификации (Удостоверяющих Центров) может включать несколько сертификатов: первый удостоверяет эмитента вашего Сертификата Домена, который вы ввели, но сам может быть выдан некоторым промежуточным центром сертификации. Следующий Сертификат удостоверяет этот промежуточный Центр Сертификации, и так далее. Последний Сертификат в цепочке должен быть выдан каким-нибудь центром сертификации, "известным" клиентскому программному обеспечению - обычно, каким-нибудь Корневым Центром Сертификации.
Если ваша Цепочка Центров Сертификации содержит несколько отдельных Сертификатов в PEM-формате, введите их всех в поле Цепочка Сертификации (Опционально). Сертификат, выданный Корневым Центром Сертификации, должен быть последним в списке.
Нажмите на кнопку Установить Цепочку для назначения Домену Цепочки Сертификации. Если все Сертификаты в цепочке имеют правильный формат и успешно декодированы, то показывается список Цепочки Сертификации:
Обратите внимание: CommuniGate Pro проверяет только формат каждого Сертификата в цепочке. Он не проверяет, например, что каждый Сертификат действительно удостоверяет эмитента предыдущего Сертификата, или что последний Сертификат выдан Корневым Центром Сертификации.
После того, как Цепочка Сертификации установлена, она отправляется клиентам вместе с Сертификатом Домена.
Нажмите на кнопку Удалить Цепочку для удаления Цепочки Сертификации из Установок Безопасности Домена.
Когда клиентское приложение получает Сертификат и его эмитент не включен в их список Доверенных Центров Сертификации, приложение может показывать предупреждения или отказаться принять Сертификат.
Ваши пользователи могут "установить" ваш Сертификат Домена в свои списки Доверенных Центров Сертификации. После установки, Сертификат становится "доверенным". Для некоторых программ (такие как Mac-версии Microsoft Outlook и Outlook Express), установка "недоверенного" Сертификата является единственным способом использования этого Сертификата для безопасного обмена информацией.
Для установки Сертификата Домена, пользователь должен использовать браузер и открыть через Веб Интерфейс Пользователя для требуемого Домена страницу входа. Если в Домене включены Сертификаты, то появиться ссылка на Сертификат Безопасности. Пользователь должен перейти по этой ссылке для загрузки Сертификата Домена и "открыть" его. Браузер должен позволить пользователю проверить Сертификат и установить его в список Доверенных Центров Сертификации.
Сертификат считается действительным, если:
Есть несколько наборов Доверенных Сертификатов:
Когда выполняется любая PKI-операция для какого-нибудь Домена (или для определённого Пользователя в этом Домене), проверяются следующие Доверенные Сертификаты:
Когда PKI-операция выполняется для нужд самой Системы (например, при установке исходящего TLS-соединения), проверяются следующие Доверенные Сертификаты:
Используйте Веб Интерфейс Администратора для обновления Общих для Сервера и Общих для Кластера Доверенных Сертификатов. Откройте страницу Безопасность в области Пользователи. Откроется страница Доверенные Сертификаты:
Включённые в показываемый список Доверенные Сертификаты имеют имеют слева кнопку-флажок. Для удаление выбранных Сертификатов, отметьте флажок и нажмите кнопку Удалить Помеченные.
В дополнение к показанным Сертификатам, Общие для Домена страницы показывают встроенные Доверенные Сертификаты и Доверенные Сертификаты, являющиеся Общими для Сервера (или являющимися Общими для Кластера для Распределенных Доменов).
Общие для Сервера и Общие для Кластера страницы с Доверенными Сертификатами показывают встроенные Доверенные Сертификаты.
Рядом с этими дополнительными сертификатами нет кнопки-флажка.
Для того, что бы добавить Сертификат, введите данные Сертификата в PEM-формате в текстовое поле и нажмите кнопку Установить Сертификат. В показываемом списке должен появиться новый Сертификат.
Сервер CommuniGate Pro поддерживает SSL/TLS соединения для всех сервисов и модулей, использующих TCP. Безопасные соединения могут устанавливаться двумя способами:
Обычно Сертификаты для SSL/TLS коммуникаций могут быть назначены только для таких Доменов CommuniGate Pro, которые имеют минимум один назначенный сетевой (IP) адрес. Это ограничение происходит из-за дизайна TLS-протокола, используемого сегодня: когда клиентское приложение хочет инициировать безопасное соединение, у Сервера нет информации о Домене, с которым хочет соединиться клиент. Сервер знает только, на какой местный IP-адрес обратился клиент, и поэтому он открывает тот Домен, которому назначен этот IP-адрес, и использует PKI Установки именно этого Домена.
Исключением из этого правила является XMPP протокол. До того, как XMPP клиент посылает команду starttls, он явно указывает имя требуемого домена в данных <stream>, и таким образом, Сервер может инициировать TLS-сессию с Доменом, который не имеет назначенного сетевого адреса.
Для того, что бы настроить Общие для Сервера параметры работы с SSL/TLS, используйте Веб Интерфейс Администратора. Откройте в области Установки страницу Общее, затем откройте страницу Прочее:
Сервер CommuniGate Pro может затребовать Сертификат Клиента в случаях, когда внешний клиент (почтовая программа, браузер или устройство для коммуникаций в реальном времени) устанавливает TLS соединение с определённым Доменом.
Через Веб Интерфейс Администратора откройте страницу Установки Домена для этого Домена и нажмите на ссылку Безопасность. Появится страница с настройками PKI:
Для того, что бы конечные пользователи могли использовать S/MIME безопасность, все они должны обладать своими собственными PKI-ключами. Каждый пользователь должен иметь Закрытый Ключ, безопасно хранящийся в месте, доступном только для этого пользователя, и соответствующий ему Открытый Ключ, встроенный в Сертификат. Этот Сертификат должен быть выдан Центром Сертификации (Удостоверяющим Центром), которому доверяют другие пользователи.
Веб Интерфейс Пользователя и XIMSS Интерфейс CommuniGate Pro поддерживают функциональность S/MIME. Сервер обеспечивает безопасное хранение Закрытых Ключей пользователей. Эти ключи могут быть разблокированы и использованы исключительно самими пользователями через указанные Интерфейсы.
Для того, что бы использовать обычное клиентское приложение на компьютере пользователя (POP, IMAP, или MAPI клиент), Закрытый Ключ пользователя должен храниться в специальном PKI-хранилище операционной системы компьютера.
Веб Интерфейс Пользователя и XIMSS Интерфейс могут экспортировать и импортировать Закрытые Ключи, так что пользователи могут использовать один и тот же Закрытый Ключ как для приложений, запущенных на своем компьютере, так и при работе через Интерфейсы. Дополнительную информацию смотрите в разделе Безопасная почта.
В Сервере CommuniGate Pro используется Сертификат Сервера, выдающий Сертификаты пользователям.
Домен CommuniGate Pro может выступать как Центр Сертификации (Удостоверяющий Центр) для всех его Пользователей, если:
Для того, что бы настроить S/MIME Установки Домена, используйте Веб Интерфейс Администратора и откройте страницы Установки Домена. Откройте страницу Безопасность и нажмите на ссылку S/MIME. Если Домен имеет действительный Закрытый Ключ, то показывается страница, подобная той, что показывается при работе с обычным Доменным Сертификатом. Эти поля используются для ввода специального S/MIME сертификата Домена. Этот Сертификат используется как Эмитент (Центр Сертификации) для всех S/MIME Сертификатов, запрашиваемых пользователями в этом Домене.
Если специальный S/MIME не задан, то вместо Сертификата Эмитента будет использоваться обычный Сертификат Домена.
Возможности S/MIME могут быть использованы для безопасного хранения сообщений. CommuniGate Pro может зашифровывать все или только определённые сообщения до сохранения их в папках пользователей.
Действие Записать Зашифровано в, задаваемое в Правилах, используется для шифрования всех входящих сообщений электронной почты и хранения их в указанной папке.
Сообщения шифруются S/MIME Сертификатом владельца папки. Если действие Записать Зашифровано в, заданное в Правилах, используется в Правиле уровня Пользователя (то есть Правила, заданного Пользователем или Правила, Общего для Домена), и указанная папка не принадлежит Пользователю, сообщение шифруется при помощи Сертификата владельца папки и текущего Пользователя.
После того, как пользователь CommuniGate Pro получил некие незашифрованные сообщения, он может предпочесть хранить их в Папках на Сервере зашифрованным. MAPI и XIMSS клиенты, а также Веб Интерфейс Пользователя обеспечивает функции Зашифровать и Расшифровать, которые позволяют пользователям зашифровывать и расшифровывать отдельные сообщения в своих Папках.