На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2746396
11089
Hosts 1649518
388
Visitors 229585
444

9

Главная / Статьи / Exchange 2003 / Защита почты в Exchange 2003 построенная на базе S/MIME и смарт-картах


Защита почты в Exchange 2003 построенная на базе S/MIME и смарт-картах

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

В данной статье я расскажу об основных шагах для создания защиты электронной почты с помощью Outlook 2003 и смарт-карт.

Думаю, стоит начать с основной информации об S/MIME и почему нужно использовать смарт-карты с S/MIME.

Что такое S/MIME?

S/MIME – это сокращение от Secure / Multipurpose Internet Mail Extension (Безопасное / многоцелевое расширения электронной почты), которое предоставляет две службы безопасности:

  • Шифрование сообщений
  • Цифровая подпись

S/MIME – это один из широко применяемых промышленных стандартов для шифрования и подписывания сообщений электронной почты. Другим стандартом является PGP, но его описание не является целью данной статьи.

Первая версия S/MIME (S/MIME 1) была разработана в 1995 году, тогда она не было принята повсеместно. Версия S/MIME 2 вышла в 1998 году. S/MIME 2 была представлена на рассмотрение IETF (Internet Engineering Task Force – Проблемная группа проектирования Интренет). IETF создало RFC2311 и RFC2312. Поскольку S/MIME стало стандартом IETF, данная версия стала стандартом и для защиты сообщений.

В данный момент стандартом является версия S/MIME 3, в которой по предложению IETF увеличены возможности S/MIME (RFC2632, RFC2633 и RFC2634). S/MIME версии 3, является самым используемым стандартом, не считая PGP.

S/MIME версии 3 поддерживается следующими продуктами Microsoft:

  • Microsoft Outlook Express 5.01 и выше
  • Microsoft Outlook 2000 SR1 и выше
  • Microsoft Exchange 5.5 и выше

Почему именно S/MIME?

До появления S/MIME администраторы использовали нешифрованные сообщения, которые передавались по Интернету через протокол SMTP открытым текстом. Как вы знаете, протокол SMTP передает нешифрованные данные по сети. Одним из решений данной проблемы является использование S/MIME для шифрования и/или подписывания сообщений электронной почты, передаваемых по SMTP.

Зачем нужно использовать S/MIME со смарт-картами?

Использование S/MIME со смарт-картами похоже на использование S/MIME с программными ключами (ключ и сертификат, хранящиеся на жестком диске). В обоих случаях для шифрования и подписывания используются сертификаты и ключи. Основное различие состоит в том, где хранятся закрытые ключи. При использовании смарт-карт закрытый ключ хранится на ней, и доступ к нему осуществляется только через PIN смарт-карты. Двухшаговая аутентификация более безопасна, чем простое хранение закрытого ключа на жестком диске (который может быть защищен паролем и сохранен в безопасном хранилище).

Начнем с демонстрации

Для демонстрации работы вам понадобится компьютер с Windows Server 2003, на котором установлены IIS 6, служба сертификатов и, как минимум, клиент Windows XP с Outlook 2003.

Прежде всего нам потребуется Центр сертификации, который будет выдавать необходимые сертификаты. Вопросы установки и настройки Центра сертификации выходят за рамки данной статьи. Также нам потребуется агент регистрации смарт-карт. Данный агент выдает сертификаты смарт-карт пользователям смарт-карт. На Рисунке 1 изображены шаблоны сертификатов корпоративного центра сертификации в Windows Server 2003.

Рисунок 1: Шаблоны сертификатов корпоративного центра сертификации в Windows Server 2003

Если вы выдаете сертификат смарт-карты, вы автоматически выдаете пользователю и S/MIME-сертификат.

Для выдачи сертификата вы обязаны дать одному или нескольким пользователям в вашей компании право на выдачу сертификатов обычным пользователям. Это можно сделать с помощью сертификата агента регистрации (Рисунок 2). После выдачи этого сертификата, вы можете начать запрашивать сертификаты для ваших пользователей.

Рисунок 2: Сертификат агента регистрации

Для выдачи сертификата пользователю, зайдите на web-сайт службы сертификатов Microsoft (http://Имя_сервера_Центра_сертификации/certsrv) и нажмите ссылку Request a certificate for a smart card...(Запросить сертификат для смарт-карты...)

Рисунок 3: Использование web-интерфейса выдачи сертификатов

В нашем случае мы выдаем сертификаты пользователям SMIME1 и SMIME2. Поставщиком услуг криптографии (Cryptographic Service Provider) у нас будет Kobil Smart CSP v1.0. Поставщики услуг для смарт-карт зависят от поставщиков услуг криптографии, предоставляемых производителями смарт-карт. В нашем случае мы используем решения компании Kobil Smartcard.

До того, как начать использовать поставщика услуг криптографии, его следует установить в Windows, поскольку Windows поставляется с небольшим количеством поставщиков услуг криптографии. Большинство производителей смарт-карт устанавливают необходимого поставщика услуг с помощью программного обеспечения, поставляемого со смарт-картой.

Рисунок 4: Выдача сертификата смарт-карты для пользователя SMIME1

Введите PIN для прикрепления сертификата к смарт-карте.

Рисунок 5: Ввод PIN для доступа к смарт-карте

После выдачи сертификата пользователя смарт-карты посмотрите на выданный сертификат, и вы увидите цели, для которых можно использовать данный сертификат.

Рисунок 6: Цели сертификата

Теперь дадим смарт-карту пользователю и автоматически настроим Outlook 2003. Помимо всего прочего, для использования S/MIME со смарт-картами требуется, чтобы у пользователя смарт-карты был почтовый ящик Exchange до выдачи сертификата S/MIME, так чтобы данный сертификат хранился в хранилище сертификатов пользователя. Закрытый ключ хранится на смарт-карте. Outlook автоматически возьмет настройки из S/MIME-сертификата. Запустите Outlook и откройте Security Options (Параметры безопасности), и вы увидите правильные настройки безопасности для S/MIME.

Рисунок 7: Цели сертификата

Попытайтесь отослать зашифрованное сообщение от пользователя SMIME1 пользователю SMIME2, активировав настройки шифрования в почтовом сообщении, которое вы хотите отослать, или в общих настройках Outlook, если вы хотите шифровать все сообщения этого пользователя. Если в Outlook вы нажмете Send (Отправить), вас попросят ввести PIN для доступа к сертификату смарт-карты.

Рисунок 8: Отправка шифрованного сообщения

Теперь наше сообщение зашифровано и может спокойно путешествовать по небезопасному Интернету.

Заключение

В данной статье я рассказал вам, как внедрить защиту сообщений электронной почты с помощью Outlook 2003 и смарт-карт для пользователей Exchange 2003.





Рейтинг:  
0 (голосов 0)  
 1   2   3   4   5    

Автор: Марк Гроут(Mark Grote)
Марк Грот (Marc Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de
Эта статья переведена и опубликована с разрешения http://www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010