none
Автоматическая выдача сертификатов для обмена почтой. RRS feed

  • Вопрос

  • Добрый день Уважаемые господа!

    Что есть:

    Есть новый лес Windows Server 2008 R2.

    Есть MS Exchange 2010 установленный в домене.

    Так же на DC установлен Root CA Enterprise. 

    И соответственно пользователи ПК с ОС Win XP  и Windows 7 c MS Outlook 2003, 2007 и 2010 соответственно.

    Задача:

    Организовать автоматическую выдачу сертификатов для шифрования электронных сообщений внутри организации между клиентами MS Outlook!

    Что сделали:

    В GPO Default Domain Controller Policy в конфигурах компьютера, в свойствах политики открытого ключа включили две политки :

    Клиент служб сертификации автоматическая регистрация и Клиент служб сертификации - политика регистрации сертификатов

    еще в параметрах автоматического запроса сертификата поставили контроллер домена

    Вопрос:

    Не получается шифровать письма в почтовых клиентах! Что-то не правильно делаем ?

     

    Спасибо!

     


    Век живи, век учись!
    26 августа 2011 г. 10:08

Ответы

  • Проблема разрешилась указанием в свойстве шаблона имени субъекта необходимо поставить переключатель на "Строится на основе данных AD" и выбрать формат имени субъекта "обычное имя" и поставить галочку на " включить имя электронной почты в имя субъекта".

    Всем спасибо за сотрудничество!


    Век живи, век учись!
    • Помечено в качестве ответа rеstless 29 августа 2011 г. 13:18
    29 августа 2011 г. 13:18
  • можно потребовать чтобы при каждом обращени к закрытому ключу запрашивался пароль

    Не подскажите где указывается такой параметр-запрос пароля ? Случайно не включение параметра в шаблоне сертификата в меню обработка запроса в параметре При подачи заявки для субъекта при использовании закрытого ключа его сертификата следует: "Запрашивать пользователя и требовать ответа при использовании закрытого ключа"

    Век живи, век учись!


    Не, ну если честно, то это "перебор" - вы о пользователях подумали : ).

    Раз развернули PKI - то отправляющий письмо - шифрует его открытым ключом получателя, который в AD публикуется. Получатель, затем расшифровывает его своим закрытым ключом, сохраненным в профиле.
    Зачем усложнять задачу - непонятно.

    • Помечено в качестве ответа rеstless 31 августа 2011 г. 17:54
    30 августа 2011 г. 17:26
    Отвечающий
  • Вы полностью правы и я поддерживаю такое утверждение! Естественно техника выдачи сертификатов начиная с Windows Server 2003 намного облегчила работу обмена шифрованной почтой, тогда как в Windows 2000 Server работая рука об руку с MS Exchange 2000- этот процесс скажем был не очень прост-через KMS выдавать сертификаты и еще паролить закрытый ключ!

     И все таки повторюсь-на всякий пожарный- то есть требование ввести пароль на закрытый ключ осуществляется именно в настройках шаблона-я правильно понимаю ?-Это на всякий случай, вдруг Босс захочет сделать все наоборот:-)- И такое в нашей компании бывает:-))) Не моя как говорится прихоть.

    P.S.

    Интересно что скажет наш начальник когда с отпуска вернется!:-)) 

    Спасибо!


    Век живи, век учись!


    Насколько я помню - в шаблоне такую настройку задать нельзя. Это делается на раб. станции, где закрытый ключ и хранится. Естественно, никто из пользователей этого делать не будет : ). Да и запоминать еще один пароль не нужно, тем более вам его не восстановить, если юзер забудет его, уволится, или еще что....
    Полагаю, боссу можете сказать "нет"


    • Помечено в качестве ответа rеstless 31 августа 2011 г. 17:54
    30 августа 2011 г. 18:05
    Отвечающий

Все ответы

  • Нужна политика для ваших пользователей, а не для DC.

    Посмотрите как настроить autoenrollment http://technet.microsoft.com/en-us/library/cc771107.aspx

    Кроме того выдаваемый сертификат должен быть предназначен для подписи и шифроания писем.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    26 августа 2011 г. 10:16
    Модератор
  • Нужна политика для ваших пользователей, а не для DC.

    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/

    То есть я так понимаю необходимо создать GPO на уровне Default Domain Policy и в параметрах пользователей а не компьютеров ?

    И второе, в Win XP и в MS Outlook 2003 когда все это находилось в старом домене 2000 с MS Exchange 2000, мы запрашивали сертификаты через KMS и консоль Exchange Tasks. Тогда каким образом сейчас устанавливать  сертификаты в почтовый клиент ? Автоматом можно ? То есть без вмешательства пользователя.

    Спасибо.


    Век живи, век учись!
    26 августа 2011 г. 10:43
  • Дефолтные политики лучше никогда не трогать, а создавать свои.

    Сертификат для кого? Если для пользовталя, то на него и нужно натравливать политики.

    Клиент автоматом не настроится, я полагаю. (Если только посмотреть возможности OCT.)


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    26 августа 2011 г. 14:25
    Модератор
  • не совсем понятно причем тут вообще раздел по exchange если речь идет о выдаче сертификатов клиенту средствами виндового CA и политик.

    как написали выше выдавать можно средствами  autoenrollment, правда у него бывает нехороший ньюанс - при первом входе сертификат юзеру выдадут, но потом юзер может залогинится на другом компе(или даже на том же) и ему выдадут еще один, получится у юзера несколько сертификатов, и письмо зашифрованное одним уже не расшифруешь другим.

    outlook 2010 и кажется 2007 сами настраиваются при получении первого сертификата, а вот если они уже были настроены на другие сертификаты то уже надо менять руками.

    26 августа 2011 г. 15:29
  •  правда у него бывает нехороший ньюанс - при первом входе сертификат юзеру выдадут, но потом юзер может залогинится на другом компе(или даже на том же) и ему выдадут еще один, получится у юзера несколько сертификатов, и письмо зашифрованное одним уже не расшифруешь другим.

    outlook 2010 и кажется 2007 сами настраиваются при получении первого сертификата, а вот если они уже были настроены на другие сертификаты то уже надо менять руками.

    Ндаа, не радужная перспектива! Только пока есть одна странность, после того как пользователь залогинелся на ПК , то при просмотре оснастки сертификатов для пользователя, там нет личных сертификатов, хотя в консоли CA ясно видно, что сертификат был выдан ? А куда еще может копироваться сертификат пользователя на его ПК?
    Век живи, век учись!
    27 августа 2011 г. 16:32
  • как написали выше выдавать можно средствами  autoenrollment, правда у него бывает нехороший ньюанс - при первом входе сертификат юзеру выдадут, но потом юзер может залогинится на другом компе(или даже на том же) и ему выдадут еще один, получится у юзера несколько сертификатов, и письмо зашифрованное одним уже не расшифруешь другим.

     


    Я вот не знаю ответа на вопрос: а если включить хранение сертификатов в AD? В этом случае останется один сертификат у пользователя или все же будет повторный запрос и повторная выдача?
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    29 августа 2011 г. 5:34
    Модератор
  • Я вот не знаю ответа на вопрос: а если включить хранение сертификатов в AD? В этом случае останется один сертификат у пользователя или все же будет повторный запрос и повторная выдача?


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    К стати когда организуешь новый шаблон сертификата, там где галочка Опубликовать сертификат в AD-можно поставить галочку "Не использовать автоматическую перезаявку, если такой сертификат уже существует  в AD", может это и есть механизм, по которому CA не будет выдавать повторно сертификат пользователю, если он уже есть ?
    Век живи, век учись!
    29 августа 2011 г. 6:22
  • К стати когда организуешь новый шаблон сертификата, там где галочка Опубликовать сертификат в AD-можно поставить галочку "Не использовать автоматическую перезаявку, если такой сертификат уже существует  в AD", может это и есть механизм, по которому CA не будет выдавать повторно сертификат пользователю, если он уже есть ?
    Век живи, век учись!

    Да, так и есть. Только закрытый ключ останется в профиле той машины, на которую пользователь залогинился первый раз. При логоне на другие машины - ключ прийдется экспортировать с первой машины и импортировать на вторую.
    Для решения этой проблемы можно использовать технологию credential roaming http://technet.microsoft.com/en-us/library/cc773373(WS.10).aspx

    29 августа 2011 г. 6:35
    Отвечающий
  • Да, так и есть. Только закрытый ключ останется в профиле той машины, на которую пользователь залогинился первый раз. При логоне на другие машины - ключ прийдется экспортировать с первой машины и импортировать на вторую.
    Для решения этой проблемы можно использовать технологию credential roaming http://technet.microsoft.com/en-us/library/cc773373(WS.10).aspx

    В принципе у нас пользователи всегда работают за своими машинами, не считая переносных ноутбуков- но туда мы обычно экспортируем сертификаты почты-для удаленного рабочего стола.Ну и меняя машины так же экспортируем все сертификаты.
    Век живи, век учись!
    29 августа 2011 г. 6:57
  • еще можно использовать токены или смарткарты

    29 августа 2011 г. 9:28
  • Блин, что за безобразие, не вижу собственного сертификата пользователя в оснастке mmc сертификаты-пользователь-личные.

    Хотя выпустил новый шаблон пользователя Exchange, настроил и дал права чтение, заявка и автоматическая подача заявки. Шаблон win 2003. В GPO Default Domain Policy в настройках User Settings поставил выдавать и обновлять атоматом.

    Решил в ручную запросить через пользователя, так в запросе даже текущего шаблона не видно! Есть только шаблоны по умолчанию.

    И самое интересное что с XP не хочет работать, тогда как с Windows 7 , Vista и Windows SERVER 2008  R2 , все отлично автоматом регистрируется!

    Что не так ?


    Век живи, век учись!


    29 августа 2011 г. 9:48
  • Проблема разрешилась указанием в свойстве шаблона имени субъекта необходимо поставить переключатель на "Строится на основе данных AD" и выбрать формат имени субъекта "обычное имя" и поставить галочку на " включить имя электронной почты в имя субъекта".

    Всем спасибо за сотрудничество!


    Век живи, век учись!
    • Помечено в качестве ответа rеstless 29 августа 2011 г. 13:18
    29 августа 2011 г. 13:18
  • Да только последний вопросик , а вот ранее у нас когда стоял KMS на WINDOWS 2000 - то есть сертификатики выдавались через него, то необходимо было вводить пароль для того что бы прочитать письмо, ну либо в свойстве Outlook в удостоверении ставить параметр "помнить 300 минут".

    Вопрос:

    Как это сделать сейчас ? Потому как на данный момент хоть письмо и шифруется и подписывается, но при чтении пришедшей почты сообщение открывается и не требует пароль, хотя и зашифровано.

     

    Спасибо!


    Век живи, век учись!
    30 августа 2011 г. 8:59
  • так шифруется то оно сертификатом а не паролем.

    можно потребовать чтобы при каждом обращени к закрытому ключу запрашивался пароль

    30 августа 2011 г. 14:16
  • можно потребовать чтобы при каждом обращени к закрытому ключу запрашивался пароль

    Не подскажите где указывается такой параметр-запрос пароля ? Случайно не включение параметра в шаблоне сертификата в меню обработка запроса в параметре При подачи заявки для субъекта при использовании закрытого ключа его сертификата следует: "Запрашивать пользователя и требовать ответа при использовании закрытого ключа"

    Век живи, век учись!
    30 августа 2011 г. 14:39
  • можно потребовать чтобы при каждом обращени к закрытому ключу запрашивался пароль

    Не подскажите где указывается такой параметр-запрос пароля ? Случайно не включение параметра в шаблоне сертификата в меню обработка запроса в параметре При подачи заявки для субъекта при использовании закрытого ключа его сертификата следует: "Запрашивать пользователя и требовать ответа при использовании закрытого ключа"

    Век живи, век учись!


    Не, ну если честно, то это "перебор" - вы о пользователях подумали : ).

    Раз развернули PKI - то отправляющий письмо - шифрует его открытым ключом получателя, который в AD публикуется. Получатель, затем расшифровывает его своим закрытым ключом, сохраненным в профиле.
    Зачем усложнять задачу - непонятно.

    • Помечено в качестве ответа rеstless 31 августа 2011 г. 17:54
    30 августа 2011 г. 17:26
    Отвечающий
  • Вы полностью правы и я поддерживаю такое утверждение! Естественно техника выдачи сертификатов начиная с Windows Server 2003 намного облегчила работу обмена шифрованной почтой, тогда как в Windows 2000 Server работая рука об руку с MS Exchange 2000- этот процесс скажем был не очень прост-через KMS выдавать сертификаты и еще паролить закрытый ключ!

     И все таки повторюсь-на всякий пожарный- то есть требование ввести пароль на закрытый ключ осуществляется именно в настройках шаблона-я правильно понимаю ?-Это на всякий случай, вдруг Босс захочет сделать все наоборот:-)- И такое в нашей компании бывает:-))) Не моя как говорится прихоть.

    P.S.

    Интересно что скажет наш начальник когда с отпуска вернется!:-)) 

    Спасибо!


    Век живи, век учись!

    30 августа 2011 г. 17:34
  • Вы полностью правы и я поддерживаю такое утверждение! Естественно техника выдачи сертификатов начиная с Windows Server 2003 намного облегчила работу обмена шифрованной почтой, тогда как в Windows 2000 Server работая рука об руку с MS Exchange 2000- этот процесс скажем был не очень прост-через KMS выдавать сертификаты и еще паролить закрытый ключ!

     И все таки повторюсь-на всякий пожарный- то есть требование ввести пароль на закрытый ключ осуществляется именно в настройках шаблона-я правильно понимаю ?-Это на всякий случай, вдруг Босс захочет сделать все наоборот:-)- И такое в нашей компании бывает:-))) Не моя как говорится прихоть.

    P.S.

    Интересно что скажет наш начальник когда с отпуска вернется!:-)) 

    Спасибо!


    Век живи, век учись!


    Насколько я помню - в шаблоне такую настройку задать нельзя. Это делается на раб. станции, где закрытый ключ и хранится. Естественно, никто из пользователей этого делать не будет : ). Да и запоминать еще один пароль не нужно, тем более вам его не восстановить, если юзер забудет его, уволится, или еще что....
    Полагаю, боссу можете сказать "нет"


    • Помечено в качестве ответа rеstless 31 августа 2011 г. 17:54
    30 августа 2011 г. 18:05
    Отвечающий
  • боссу первому включить эту настройку и писать ему исключительно шифрованные письма :)
    31 августа 2011 г. 6:48
  • Может вы наверное не поняли немного: в MS Outlook 2003-2007 при открытии шифрованного письма появляется окно ввода пароля, там можно поставить время запоминания пароля-Я ПРО ЭТО! :-) То есть ранее существовал так называемый KMS сервер у которого при помощи оснастки Exchange Tasks запрашивался маркер безопасности, который в свою очередь приходил на ящик пользователя, далее уже в настройках Outlook-ка в безопасности устанавливался сертификат с определенным паролем. Ради спортивного интереса я и хотел узнать-все это возможно воспроизвести на данный момент и где ?

     

    Спасибо.


    Век живи, век учись!
    31 августа 2011 г. 7:39
  • Согласен..., глупое повторение вопроса.

    Вопрос снят, спасибо.


    Век живи, век учись!
    31 августа 2011 г. 17:54