Безопасность Domino Web Access

7.5 Безопасный обмен сообщениями в Domino Web Access

В Domino Web Access безопасный обмен сообщениями появился начиная с версии 6.5. В версии 7.0 его функциональность была расширена. Давайте изучим, что появилось в версии 6.5 и какая надстройка была введена в версию 7.0.

7.5.1 Поддержка шифрования почты в Domino Web Access 6.5

В Domino Web Access поддержка шифрования почты появилась в версии 6.5. Сохраняя файл Notes ID в почтовом файле, пользователи теперь могут посылать и читать зашифрованные почтовые сообщения.

На серверной стороне администратор для этого должен отредактировать доку- мент Configuration Settings (Параметры конфигурации), указав значение Enabled (Включено) в поле Encrypted mail support (Поддержка шифрования почты) на закладке Domino Web Access.

На клиентской стороне, чтобы пользователи Domino Web Access могли шифровать или подписывать свои почтовые сообщения, им нужно внести некоторые изменения в настройки, в частности сделать так, чтобы в почтовом файле хранилась копия Notes ID. Если почтовый файл не содержит копию Notes ID, ее нужно импортировать при помощи пункта Import Notes ID (Импорт Notes ID) на закладке Security (Безопасность) диалогового окна Preferences (Параметры). Далее пользователь должен перейти к закладке Mail (Почта) окна Preferences (Параметры) и выбрать опции, включающие электронную подпись и шифрование почты (с четким указанием на то, что пропущен необходимый этап, а именно импорт Notes ID, является недоступность кнопок). После выполнения данных шагов и сохранения настроек пользователь Domino Web Access сможет подписывать и шифровать почтовые сообщения. Отметим, что это необходимо только в том случае, если пользователь хочет, чтобы шифрование применялось по умолчанию для каждого нового письма. В качестве альтернативы пользователь может выбирать опцию, расположенную справа вверху (под панелью инструментов) окна каждого почтового сообщения.

Применительно к зашифрованной почте в Domino Web Access нужно сделать ряд предостережений. Например, для пользователя Domino Web Access существали ограничения как по дешифровке зашифрованного письма Notes, так и по отправке зашифрованных почтовых сообщений пользователям Notes. Отсутствовала поддержка зашифрованных и подписанных писем S/MIME.

7.5.2 Новые возможности безопасного обмена сообщениями в Domino Web Access 7.0

Версия 7.0 Domino Web Access продолжает поддерживать функции безопасного обмена сообщениями, появившиеся в версии 6.5, и теперь имеется полный набор таких функций, с поддержкой S/MIME, что значительно увеличивает возможности системы безопасности Domino Web Access в области обмена сообщениями.

Теперь пользователи могут применять всю функциональность S/MIME, связанную с проверкой цифровой подписи S/MIME на подписанном сообщении. Если у пользователя есть сертификат X.509 в Notes ID, хранящемся в почтовом файле, он может, помимо дешифровки получаемых S/MIME-сообщений, прикреплять цифровую подпись S/MIME к созданным сообщениям. Исходящие сообщения могут быть зашифрованы при помощи S/MIME для получателей, которые имеют сертификат X.509 в Domino Directory, или в контактах Domino Web Access, или в любой директории, доступной через Directory Assistance.

Стоит отметить, что для сертификата X.509, который должен использоваться в Domino Web Access, необходимо выпустить через сертификатор организации перекрестный интернет-сертификат, который сертифицирует источник, выпустивший сертификат X.509. Перекрестный интернет-сертификат должен находиться в Domino Directory. Кроме того, Domino Web Access также позволяет использовать для шифрования недоверенные сертификаты. Администратор должен включить эту возможность в документ Server Configuration, как показано на рис. 7.17.

Рис. 7.17. Параметр, разрешающий недоверенные интернет-сертификаты

После этого пользователь может указать, что нужно доверять всем интернет-сертификатам (или, в качестве альтернативы, выводить для пользователя запрос) при каждой отправке сообщения, применяющего интернет-сертификат, который не имеет своего перекрестного сертификата, как это показано на рис. 7.18.

увеличить изображение
Рис. 7.18. Опция Domino Web Access, означающая "всегда доверять Интернет-сертификатам для отправляемой почты S/MIME"

Вы можете дополнить безопасный обмен сообщениями применением SSL. Если SSL-соединение является обязательным для клиента или для клиента и сервера, то пользователи Domino Web Access не смогут читать и отправлять зашифрованные сообщения через HTTP-соединение. Если пользователь имеет HTTP-соединение, для доступа к зашифрованному сообщению на сервере ему нужно переключиться на HTTPS. При отправке зашифрованной почты это переключение производится автоматически. При чтении зашифрованной почты пользователю будет предложено выполнить переключение.