none
Шифрование писем Exchange 2007 RRS feed

  • Вопрос

  • Есть DC на нем поднят ЦС. Также есть второй сервер с Exchange 2007. Для двух пользователей домена сделал сертификаты. отправляю почту от одного к другому и получаю ошибку что получатель не имеет сертификата. Что делать? Должен ли на exchnge быть подчиненный ЦС? И что делать чтоб почта щифровалась? 
    • Перемещено Hengzhe Li 12 марта 2012 г. 8:59 forum merge (От:Exchange Server 2007)
    13 октября 2009 г. 9:18

Ответы

  • Необходимо чтобы пользователи обменялись ключами. Тогда им можно будет обмениваться шифрованными сообщениями.

    Смотрите принцип здесь - http://oszone.net/3941/Public_Key_Features_Outlook_2000

    Как обменяться ключами:

    1. Пользователь 1 шлет Пользователю 2 сообщение подписаное (но не шифрованое) - красненький конвертик
    2. Пользователь 2 открывает письмо и добавляет Пользователя 1 в свои контакты (обратите внимание что появится вкладка сертификаты в свойствах контакта)
    То же самое для пользователя 2
    Теперь эти пользователи могут обмениваться зашифрованными сообщениями....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа Alexus817 13 октября 2009 г. 10:50
    13 октября 2009 г. 10:02

Все ответы

  • Посмотрите это:
    http://technet.microsoft.com/ru-ru/library/cc179061.aspx

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    13 октября 2009 г. 9:32
  • Посмотрел, но что такое шифрование на основе сертификатов я и так знаю. ответа не нашел на свой вопрос :(
    13 октября 2009 г. 9:57
  • и получаю ошибку что получатель не имеет сертификата. Что делать?

    Должен ли на exchnge быть подчиненный ЦС
    вероятно пользователю нужен сертификат..
    и он его должен получить.

    сабординейт ЦА поднимается при необходимости (вернее при правильном развертывании PKI) но никак не на Exchange

    blog.wadmin.ru
    13 октября 2009 г. 10:00
  • Необходимо чтобы пользователи обменялись ключами. Тогда им можно будет обмениваться шифрованными сообщениями.

    Смотрите принцип здесь - http://oszone.net/3941/Public_Key_Features_Outlook_2000

    Как обменяться ключами:

    1. Пользователь 1 шлет Пользователю 2 сообщение подписаное (но не шифрованое) - красненький конвертик
    2. Пользователь 2 открывает письмо и добавляет Пользователя 1 в свои контакты (обратите внимание что появится вкладка сертификаты в свойствах контакта)
    То же самое для пользователя 2
    Теперь эти пользователи могут обмениваться зашифрованными сообщениями....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа Alexus817 13 октября 2009 г. 10:50
    13 октября 2009 г. 10:02
  • Artem, большое спасибо все именно так. Все сработало. Есть ещё один вопрос. как можно организовать централизованное хранилище сертификатов выдаваемых ЦС (с закрытыми ключами) в домене windows 2003 ?
    13 октября 2009 г. 10:52
  • Artem, большое спасибо все именно так. Все сработало. Есть ещё один вопрос. как можно организовать централизованное хранилище сертификатов выдаваемых ЦС (с закрытыми ключами) в домене windows 2003 ?

    А оно и так есть... - Active Directory :)


    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    13 октября 2009 г. 11:19
  • для шифрования почты не требуется доменный ЦС, достаточно двух сертификатов (можно даже самовыпущенных)

    описание (англ) вот тут - http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
    (рус) тут - http://ru.wikipedia.org/wiki/Инфраструктура_открытых_ключей

    небольшие заметки с примерами
    http://www.panvasoft.com/rus/blog/12/
    http://www.cyberguru.ru/operating-systems/windows-admin/windows-certification-page3.html

    При шифровании почты есть риск потери сертификата и как следствие всей переписки, для того что бы это избежать необходимо изначально продумать методики сохранения ключей
    1. централизованное хранилище выданных ключей
    2. выдача сертификата с архивируемым ключом. этот метод предпочтительнее т.к. при потере всех копий сертификата пользователя его всегда можно восставновить из хранилища.
    blog.wadmin.ru
    13 октября 2009 г. 11:28
  • Разве в AD храняться сертификаты с закрытыми ключами? тогда почему когда я хочу зашифровать файл под пользователем домена (user1) на компьютере в домене (comp1) создается запрос на сертификат в ЦС этого домена, по этому запросу выдается сертификат, файл шифруется. Потом этот же пользователь (user1) на другом компьютере в этом же домене (comp2) пытается зашифровать файл, и опять формируется запрос на сертификат. Зачем? ведь у этого пользователя уже есть нужный сертификат только он установлен в локальном хранилище сертификатов на comp1. А в ЦС хранится только открытый ключ... А если бы в AD был этот сертификат почему бы его оттуда не взять? иначе у пользователя получается 2а сертификата одинакового назначения. потом возникает путаница.
    13 октября 2009 г. 11:51
  • А вы посмотрите в ADUC свойства пользователя, вкладка Published Certificates....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    13 октября 2009 г. 11:59
  • В опубликованный в AD сертификатах имеется только открытый ключ, закрытого нет.
    13 октября 2009 г. 12:10
  • ключом лежащим в АД сообщение будет шифроваться, закрытым ключом который есть только у пользователя расшифровываться
    blog.wadmin.ru
    13 октября 2009 г. 12:16
  • В опубликованный в AD сертификатах имеется только открытый ключ, закрытого нет.

    И тем не менее:

    http://office.microsoft.com/ru-ru/outlook/HP063699521049.aspx?pid=CH010045651049

    Мне кажется что вы запутались....

    Для того чтобы шифровать сообщения, пользователь 1 должен получить от пользователя 2 его открытый ключ для криптографирования почты, направляемой пользователю 2. Отправить пользователю 2 свой открытый ключ для того, чтобы пользователь 2 мог криптографировать почту, направляемую им пользователю 1. Закрытыми ключами обмениваться не нужно....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    13 октября 2009 г. 12:21