18.10 Защищенные сообщения S/MIME

GroupWise работает с программным обеспечением защиты, установленным для отправки защищенных сообщений.

18.10.1 Требования

Функции безопасности, описываемые в этом разделе, доступны у любого поставщика шифрования, который использует интерфейс Microsoft Cryptographic API и поддерживает стандарты RSA или AES.

Добавление защиты

Отправляемые сообщения можно защитить с помощью цифровой подписи или шифрованием. Если отправленное вами сообщение защищено электронной подписью, получатель может проверить, изменялось ли сообщение в пути и действительно ли это сообщение от вас. При шифровании сообщения вы можете быть уверенным, что получатель является единственным, кто может прочитать это сообщение.

При использовании подписи или шифрования в GroupWise получатели могут читать сообщения с помощью любого другого продукта для работы с электронной почтой, поддерживающего стандарт S/MIME.

Понятие сертификатов безопасности

Сертификат защиты представляет собой файл, идентифицирующий конкретное лицо или организацию. Перед отправкой защищенных сообщений вы должны получить сертификат защиты. С помощью веб-навигатора получите сертификат от независимой сертифицирующей организации (CA). Список сертифицирующих организаций см. на веб-странице Цифровые сертификаты GroupWise.

Для поиска сертификата защиты можно также использовать LDAP.

Сертификат защиты можно использовать для цифровой подписи отправляемых сообщений. Для проверки отправленных вам сообщений, имеющих цифровую подпись, используются открытые сертификаты защиты других пользователей.

Для шифрования элемента и расшифровки его получателем необходимо иметь уже полученный открытый сертификат защиты пользователя. Для шифрования сообщения используется элемент сертификата защиты, называемый открытым ключом. Когда получатель открывает зашифрованное сообщение, он расшифровывает его с помощью другого элемента сертификата защиты, который называется закрытым ключом.

Существует два способа получения открытого сертификата защиты пользователя:

  • Пользователь может отправить вам сообщение с цифровой подписью. При открытии сообщения вам будет предложено добавить и заверить сертификат защиты.

  • Пользователь может экспортировать свой открытый сертификат, сохранить его на диске (в том числе внешнем) и отправить вам. Затем вы импортируете этот открытый сертификат.

Получение зашифрованного сообщения

Зашифрованные сообщения отмечаются в вашем списке сообщений следующими значками:

Значок

Описание

Подписанное сообщение

Зашифрованное сообщение

Подписанное и зашифрованное сообщение

Использование поставщиков услуг безопасности

В зависимости от инсталлированного программного обеспечения защиты, вы можете выбирать различных поставщиков сервиса защиты для своих сообщений. Например, вы можете использовать для защиты рабочих сообщений одного поставщика сервиса защиты, так как он является предпочитаемым в вашей организации, а для защиты личных сообщений вы можете воспользоваться другим поставщиком сервиса защиты. Доступные параметры защиты зависят от выбранного поставщика сервиса защиты.

См. Выбор поставщика услуг безопасности для получения дополнительной информации.

Дополнительная информация

GroupWise совместим со спецификацией S/MIME версий 2 и 3. Поставщики сервиса защиты, поддерживаемые GroupWise, используют распространенные алгоритмы шифрования, такие как RC2, RC4 и AES (в Windows 7 или более поздних версиях). При цифровом подписании элемента GroupWise хэширует элемент в дайджесте сообщения, используя стандартный алгоритм SHA-1. Дайджест сообщения распространяется вместе с отправляемым элементом.

См. Выбор поставщика услуг безопасности для получения дополнительной информации.

18.10.2 Цифровая подпись или шифрование сообщения

Для шифрования элемента и расшифровки его получателем необходимо иметь уже полученный открытый сертификат защиты пользователя.

  1. Убедитесь в том, что у вас есть сертификат защиты и что вы указали поставщика сервиса защиты, услугами которого хотите воспользоваться.

  2. Откройте окно сообщения.

  3. В поле Кому введите имя пользователя, а затем нажмите клавишу Enter. Повторите эти действия для других пользователей.

  4. Щелкните , чтобы подписать сообщение цифровой подписью.

  5. Щелкните , чтобы зашифровать сообщение.

  6. Введите тему и текст сообщения.

  7. Щелкните Отправить на панели инструментов.

    Если при попытке отправки элемента приходит сообщение «Сертификат получателя не найден», возможно, причина заключается в следующем: 1) вы пытаетесь зашифровать элемент для получателя, открытый сертификат которого у вас отсутствует; 2) адрес электронной почты в открытом сертификате не совпадает с адресом получателя; 3) в открытом сертификате получателя отсутствует адрес электронной почты и адрес электронной почты получателя не удается проверить.

    Если верно первое, вам нужно получить открытый сертификат защиты получателя. Если верно второе или третье, щелкните Найти сертификат, чтобы найти сертификат получателя.

18.10.3 Цифровая подпись и шифрование всех сообщений

Чтобы настроить цифровую подпись и шифрование всех сообщений, выполните указанные ниже действия.

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните по элементу Защита и перейдите на вкладку Параметры отправки.

  3. Выберите Электронная подпись или Шифрование для получателей.

  4. Нажмите кнопку Другие параметры и установите желаемые параметры.

  5. Дважды нажмите кнопку ОК, затем — кнопку Закрыть.

18.10.4 Получение сертификата защиты от сертифицирующей организации

В большинстве компаний сертификаты защиты выпускает локальный администратор GroupWise. Если вы не знаете, где получить сертификат защиты, обратитесь к своему локальному администратору.

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните Сертификаты.

  3. Щелкните Получить сертификат.

    Запустится веб-навигатор, и откроется веб-страница GroupWise со списком сертифицирующих организаций. Этот список не является полным; GroupWise поддерживает множество сертифицирующих организаций.

  4. Выберите сертифицирующую организацию, а затем следуйте инструкциям на веб-сайте.

    Если для получения сертификата используется Internet Explorer, сертификат будет доступен в GroupWise. Если для получения сертификата использовался навигатор Firefox или Chrome, вам нужно экспортировать сертификат из навигатора или выполнить его резервное копирование (инструкции см. в документации к навигатору). Дополнительные сведения см. в разделе Импорт и экспорт сертификата защиты.

  5. В GroupWise выберите в меню Сервис пункт Параметры, дважды щелкните по элементу Защита и выберите вкладку Параметры отправки.

  6. Выберите поставщика шифрования Microsoft Base или Microsoft Enhanced из раскрывающегося списка Имя, расположенного под полем Выберите поставщика сервиса защиты.

    Выберите соответствующего поставщика сервиса защиты, основываясь на степени шифрования используемого сертификата. Степень шифрования сертификата зависит от степени шифрования навигатора, используемого для получения сертификата. Например, если вы используете Internet Explorer с инсталлированным 128-битным шифрованием, а также установлено высокое шифрование, то работа будет осуществляться только с помощью поставщика шифрования Microsoft Enhanced.

  7. Нажмите кнопку ОК.

  8. Дважды щелкните по элементу Сертификаты, выберите сертификат, который хотите использовать, и нажмите кнопку По умолчанию.

  9. Нажмите кнопку ОК, а затем — кнопку Закрыть.

18.10.5 Выбор поставщика услуг безопасности

  1. В основном окне щелкните пункт Сервис > Параметры.

  2. Дважды щелкните по элементу Защита и перейдите на вкладку Параметры отправки.

  3. Выберите поставщика услуг безопасности в раскрывающемся списке Имя.

  4. Нажмите кнопку ОК, а затем — кнопку Закрыть.

Выбранный поставщик сервиса защиты вступит в силу сразу после входа в систему в поставщике защиты (если такой вход требуется). Доступные параметры и методы шифрования зависят от выбранного поставщика защиты.

Параметры поставщика сервиса защиты нельзя выбрать для отдельного элемента. Эти параметры необходимо выбрать в основном окне.

18.10.6 Выбор сертификата защиты для цифровой подписи сообщений

Чтобы выбрать сертификат защиты для цифровой подписи сообщений, выполните указанные ниже действия.

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните Сертификаты.

  3. Щелкните имя сертификата.

  4. Щелкните По умолчанию.

  5. Нажмите кнопку ОК, а затем — кнопку Закрыть.

18.10.7 Использование LDAP для поиска сертификатов шифрования получателя

Прежде чем использовать сервис «Каталога LDAP» для поиска сертификатов защиты, необходимо добавить сервис «Каталога LDAP» в адресную книгу GroupWise. Дополнительную информацию см. в разделе Добавление сервиса каталога в адресную книгу.

  1. Последовательно выберите пункты Сервис > Параметры, а затем дважды щелкните по элементу Защита.

  2. Щелкните вкладку Параметры отправки.

  3. Щелкните Дополнительные параметры.

  4. Выберите Искать сертификаты шифрования получателя в каталоге LDAP по умолчанию, определенном в адресной книге LDAP.

  5. Дважды нажмите кнопку ОК, затем — кнопку Закрыть.

18.10.8 Выбор метода, используемого для шифрования элементов

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните по элементу Защита и перейдите на вкладку Параметры отправки.

  3. Щелкните Дополнительные параметры.

    Если возможно, использовать алгоритм шифрования, предпочитаемый получателем: GroupWise пытается использовать предпочитаемый получателем алгоритм шифрования, если он доступен.

    Искать сертификаты шифрования получателя в каталоге LDAP по умолчанию, определенном в адресной книге LDAP: При попытках поиска сертификатов шифрования получателя GroupWise использует определенную адресную книгу LDAP.

    Алгоритм шифрования по умолчанию: Раскрывающиеся списки алгоритмов шифрования в поле Зашифрованный элемент имеют возможность прокрутки и включают все алгоритмы шифрования, поддерживаемые версией веб-навигатора, установленного на рабочей станции, на которой запущен клиент GroupWise. Ниже приведен пример списка:

    • 3DES (168 бита)

    • DES (56 бит)

    • RC2 (128 бит)

    • RC2 (40 бит)

    • RC2 (56 бит)

    • RC2 (64 бит)

    • RC4 (128 бит)

    • AES (128 бит)

    • AES (256 бит)

    Передавать информацию о предпочитаемом алгоритме шифрования в подписанном элементе: При отправке зашифрованного сообщения можно указать предпочитаемый для использования алгоритм шифрования.

    Отправить часть сообщения в формате открытого текста (без подписи): Отправка сообщения открытым текстом, иначе оно будет отправлено как шифрованное сообщение PKCS7.

    Включить сертификаты моей сертифицирующей организации (CA): В отправляемое сообщение включается сертификат вашей сертифицирующей организации.

    Проверять входящие и исходящие защищенные сообщения на наличие отозванных сертификатов: Проверка входящего и исходящего защищенного сообщения по списку аннулированных сертификатов.

    Предупреждать, если сервер аннулирования отключен: Если GroupWise проверяет сервер аннулирования и он отключен, выдается предупреждение.

    Предупреждать об отсутствии в сертификате сведений о его аннулировании: Выдается предупреждение, если в сертификате нет сведений об аннулировании.

    Не проверять сертификат на соответствие S/MIME: Сертификат не проверяется на соответствие S/MIME.

    Проверять сертификат на соответствие S/MIME версии 2: Сертификат проверяется на соответствие стандарту S/MIME версии 2.

    Проверять сертификат на соответствие S/MIME версии 3: Сертификат проверяется на соответствие стандарту S/MIME версии 3.

  4. Выберите параметры в группе параметров Зашифрованный элемент.

  5. Дважды нажмите кнопку ОК, затем — кнопку Закрыть.

Доступные методы шифрования зависят от выбранного вами поставщика сервиса защиты.

18.10.9 Проверка подтверждения цифровой подписи для документа

Чтобы проверить подтверждение цифровой подписи, выполните указанные ниже действия.

  1. Откройте полученное сообщение с цифровой подписью.

  2. Щелкните Файл > Настройки защиты.

  3. Используйте вкладки для просмотра информации о сертификате защиты, который использовался.

Цифровая подпись проверяется при открытии сообщения. Если в отношении сертификата, которым подписано сообщение, имеются подозрения, то немедленно будет выведено предупреждение или сообщение об ошибке, а в строке состояния подписанного сообщения появится запись «Недоверенное».

Если цифровая подпись не была проверена, возможно, сертификат защиты недействителен или текст сообщения был изменен после его отправки.

18.10.10 Отображение полученных сертификатов безопасности и изменение доверия

Для просмотра полученных сертификатов безопасности и изменения доверия выполните указанные ниже действия.

  1. Щелкните Контактные лица в полном списке папок.

    Чтобы открыть полный список папок, щелкните раскрывающийся список в заголовке списка (он расположен над списком папок, и в нем может отображаться текущий режим GroupWise: Прямое подключение или Кэширование). Затем щелкните пункт Полный список папок.

    или

    Откройте адресную книгу.

  2. Дважды щелкните по контакту и перейдите на вкладку Дополнительно.

  3. Щелкните пункт Управление сертификатами.

  4. Щелкните по сертификату и выберите пункт Показать детали.

Если первоначально вы не доверяли сертификату защиты получателя, но необходимо сделать это сейчас. Откройте элемент с электронной подписью от получателя, щелкните по сертификату защиты, выберите команду Изменить отношения доверия, выберите вариант доверия и нажмите кнопку ОК.

Если больше не нужно доверять сертификату получателя, щелкните по сертификату защиты, выберите пункт Удалить, а затем нажмите кнопку Да.

При удалении из списка сертификата защиты получателя он также удаляется из вашей базы данных сертификатов. В будущем при получении сообщений с этим сертификатом он будет считаться неизвестным.

18.10.11 Отображение собственных сертификатов безопасности

Просмотр собственных сертификатов защиты:

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните Сертификаты.

  3. Щелкните по сертификату и выберите пункт Показать детали.

Если у вас есть несколько сертификатов защиты, сертификат по умолчанию отображается отмеченным. Чтобы изменить сертификат по умолчанию, выберите сертификат и затем выберите команду По умолчанию.

Чтобы изменить имя сертификата защиты, щелкните Изменить свойства, а затем отредактируйте текст в поле Имя сертификата. Имя сертификата отображается в списке, но не хранится в действующем сертификате.

18.10.12 Импорт и экспорт сертификата защиты

При экспорте вашего сертификата защиты с закрытым ключом в файл требуется пароль для защиты экспортируемого файла. Экспортируемый файл можно использовать в качестве резервной копии, или его можно импортировать на другую рабочую станцию. Если файл и ассоциированный с ним пароль получает другой пользователь, он может создать цифровую подпись сообщений с вашим именем и читать предназначенные вам зашифрованные сообщения.

При экспорте открытого сертификата вы можете отправить его другому пользователю. После этого другой пользователь сможет импортировать ваш открытый сертификат и отправлять зашифрованные сообщения.

  1. Щелкните Сервис > Параметры.

  2. Дважды щелкните Сертификаты.

  3. Щелкните Импорт или Экспорт.

    или

    Выберите пункт Сертификаты сертифицирующей организации, затем щелкните по элементу Импорт или Экспорт.

  4. Введите имя файла, включая путь к нему.

    Также можно нажать кнопку Просмотр, чтобы найти файл сертификата, затем выбрать имя файла и нажать кнопку Сохранить или Открыть.

  5. При необходимости введите пароль сертификата.

  6. Нажмите кнопку ОК.