none
Вопрос по работе S/MIME RRS feed

  • Вопрос

  • Коллеги, добрый день!

    Пытаюсь разобраться с S/MIME. Что-то не получается найти хорошее подробное описание работы с ним. 

    Я создал два сертификата с помощью COMODO (https://www.comodo.com/home/email-security/free-email-certificate.php):

    user01@comodo.com

    user02@comodo.com

    На машины пользователей установил их сертификаты с закрытым ключем, далее обменялся открытыми ключами.

    В Thunderbird проблем нет. Письмо шифруется корректно. Открываю его в Outlook - дешифровка работает.

    Но вот проблема при отправке письма через Outlook 2013 и OWA. Ошибка выглядит примерно одинаково:

    Произошла ошибка при попытке зашифровать это сообщение S/MIME. Не удалось найти сертификаты ни для одного получателя.

    Подозреваю, что тут дело в том, что OWA и Outlook ищут сертификат через GAL, а не на машине пользователя. 

    Сертификаты пробовал добавлять как в "Personal", так и в "Trusted/Other People" на клиентских машинах. Пробовал импортировать через IE11. 

    На сервере выполнил "Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true", плагин для IE (owasmime.msi) установил. Подписать письмо сертификатом получается без проблем, валидация у принимающего пользователя проходит корректно.

    Что я недоделал?


    • Изменено Tema_BYMVP 5 июня 2015 г. 13:38
    5 июня 2015 г. 13:35

Ответы

  • То-есть чтобы каждый пользователь мог выписать себе сертификат у любого доверенного ЦС и использовать без моей помощи. Возможно ли такое? 

    Да, возможно.

    • Пользователь получает сертификат у публичного CA.
    • Импортирует сертификат и настраивает у себя в клиенте использование S/MIME
    • Создает новое сообщение и добавляет к нему свою цифровую подпись. К письму автоматически прикрепляется сертификат с открытым ключом отправителя.
    • Получатель сообщения создает или обновляет ранее созданный локальный почтовый контакт и добавляет к нему прикрепленный сертификат. Данный контакт  - это контакт почтового клиента (Outlook), а не contact из AD, то есть пользователь может создать его самостоятельно по инструкции.
    • Теперь сертификат из контакта Outlook (если быть точным, публичный ключ) может использоваться для шифрования письма, адресованного данному контакту.

    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Tema_BYMVP 6 июня 2015 г. 21:06
    6 июня 2015 г. 16:16
  • В дополнение к предыдущему. Если у пользователя Outlook нет собственного сертификата с закрытым ключом, он не сможет отправить зашифрованное сообщение никому, вне зависимости от наличия открытого ключа (сертификата) респондента.

    Потому что Outlook, по умолчанию, сохраняет отправленные сообщения, а сохранить "у себя" отправленные шифрованные сообщения должен тоже в зашифрованном виде, но чтобы прочитать отправленное смог отправитель.

    Вариант обеспечить отправку шифрованных сообщений при отсутствии собственного сертификата - отключить сохранение отправленных.


    S.A.

    • Помечено в качестве ответа Tema_BYMVP 6 июня 2015 г. 21:06
    6 июня 2015 г. 19:45

Все ответы

  • Outlook не может найти сертификат получателя, чтобы взять оттуда открытый ключ (им шифруется секретный ключ шифрования самого сообщения).

    Сертификат для получателя должен быть опубликован либо в Контактах в Outlook, либо в GAL (в свойствах пользователя или контакта).


    Слава России!

    5 июня 2015 г. 14:30
  • Дело в том, что мне необходимо настроить работу с S/MIME внося минимум изменений со стороны администратора на сервере Exchange. То-есть чтобы каждый пользователь мог выписать себе сертификат у любого доверенного ЦС и использовать без моей помощи. Возможно ли такое? 
    5 июня 2015 г. 14:42
  • То-есть чтобы каждый пользователь мог выписать себе сертификат у любого доверенного ЦС и использовать без моей помощи. Возможно ли такое? 

    Да, возможно.

    • Пользователь получает сертификат у публичного CA.
    • Импортирует сертификат и настраивает у себя в клиенте использование S/MIME
    • Создает новое сообщение и добавляет к нему свою цифровую подпись. К письму автоматически прикрепляется сертификат с открытым ключом отправителя.
    • Получатель сообщения создает или обновляет ранее созданный локальный почтовый контакт и добавляет к нему прикрепленный сертификат. Данный контакт  - это контакт почтового клиента (Outlook), а не contact из AD, то есть пользователь может создать его самостоятельно по инструкции.
    • Теперь сертификат из контакта Outlook (если быть точным, публичный ключ) может использоваться для шифрования письма, адресованного данному контакту.

    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Tema_BYMVP 6 июня 2015 г. 21:06
    6 июня 2015 г. 16:16
  • В дополнение к предыдущему. Если у пользователя Outlook нет собственного сертификата с закрытым ключом, он не сможет отправить зашифрованное сообщение никому, вне зависимости от наличия открытого ключа (сертификата) респондента.

    Потому что Outlook, по умолчанию, сохраняет отправленные сообщения, а сохранить "у себя" отправленные шифрованные сообщения должен тоже в зашифрованном виде, но чтобы прочитать отправленное смог отправитель.

    Вариант обеспечить отправку шифрованных сообщений при отсутствии собственного сертификата - отключить сохранение отправленных.


    S.A.

    • Помечено в качестве ответа Tema_BYMVP 6 июня 2015 г. 21:06
    6 июня 2015 г. 19:45
  • Спасибо за подробные развернутые ответы! Проверил - в Outlook шифрование работает отлично! Даже в OWA я смог прочитать это сообщение.

    А вы случайно не сталкивались с необходимостью отправки зашифрованных сообщений из OWA? Опять же, внесение изменений для каждого пользователя со стороны администратора крайне нежелательно.


    6 июня 2015 г. 21:33
  • Оно работает в OWA, под Internet Explorer - должен быть установлен соответствующий ActiveX, owasmime.msi берётся клиентом (веб) непосредственно с Exchange.

    Под другими браузерами не работает... но - у меня 10 Exchange, если в 13 что-то добавлено с поддержкой других браузеров, я не в курсе.

    Требования к наличию локально у пользователя сертификатов/ключей те же, что и для обычного почтового клиента, обусловлены выполнением правила: закрытые ключи ни при каких условиях не должны покидать локальную систему (точнее, передаваться по сети).


    S.A.

    Update. Попалось на глаза: "Exchange 2013 SP1 ... Возвращена поддержка S/MIME в OWA (только для IE9+, но не Chrome, Firefox и Safari). Этот функционал был удален в связи с внесением изменений в архитектуру OWA для поддержки различных типов дисплеев".