Вопросы безопасности в Lotus Notes и Domino 7
[+]
Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Темы: Безопасность, Программное обеспечение
Специальности: Архитектор программного обеспечения
Теги: address book, cache management, certify, configuration settings, DCC, e-mail, ldap, password management, single sign-on, ssl, ssl-сертификаты, SSO, аутентификация, базы данных, безопасность, браузеры, интернет, клиенты, личный ключ, политика, серверы, спам, шифрование
Лекция 7:

Безопасность Domino Web Access
A
|
версия для печати
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >

7.5.3 Безопасный обмен сообщениями в Domino Web Access с использованием S/MIME

Чтобы пользователи могли посылать зашифрованные и имеющие цифровые подписи сообщения, выполните следующие шаги:

  1. Укажите необходимые значения в полях документа Configuration Settings (Параметры конфигурации) Domino Web Access.
  2. Добавьте интернет-сертификат и перекрестный сертификат для зашифрованных S/MIME-сообщений.
  3. После выполнения двух предыдущих шагов, следующим, естественно, будет обмен S/MIME-сообщениями.

В оставшейся части раздела предлагаются инструкции по каждому из этих шагов.

Шаг 1: установка необходимых значений в полях документа Configuration Settings (Параметры конфигурации) Domino Web Access

Чтобы пользователи Domino Web Access могли шифровать и снабжать цифровыми подписями почтовые сообщения, администратор Domino должен был включать параметры Encrypted mail support (Поддержка шифрования почты) и Name Resolution and Validation (Разрешение и проверка имен) на закладке Domino Web Access документа Configuration Settings (Параметры конфигурации) сервера. В Domino Web Access 7.0 это больше не требуется. Если пользователь попытается отправить зашифрованное сообщение, необходимый поиск имени будет произведен независимо от параметров конфигурации.

На рис. 7.12 мы показали весь набор конфигурационных параметров для настройки Domino Web Access.

Важным полем в разделе Mail (Почта) является

  • Name resolution and validation: Enabled | Disabled (Разрешение и проверка имен: включено | отключено). Вы можете включать и отключать поиск альтернативных имен, сходный с "опережающим вводом" в Notes. Это дает возможность пользова- телям выполнять разрешение неоднозначных имен и применять альтернативные имена путем проверки имен по списку контактов в Domino Directory.
Примечание. При использовании в Domino Web Access безопасной почты в этом поле обязательно должно стоять значение Enabled, за исключением Domino Web Access 7.0, где, как уже говорилось ранее, поиск имен происходит независимо от параметров конфигурации.

Важным полем в разделе Mail Encryption (Шифрование почты) является

  • Encrypted mail support: Enable | Disable (Поддержка шифрования почты: включено | отключено). Вы можете включать и отключать функцию, дающую возможность пользователям применять сохраненные Notes ID для чтения зашифрованной почты. Пользовательские ID должны храниться в почтовой базе данных. По умолчанию в этом поле установлено значение Enabled (Включено).

К другим интересующим нас полям в разделе Encryption (Шифрование почты) относятся следующие:

  • Allow user to delete their Notes ID from their mail database: Enable | Disable (Разрешать пользователям удалять свои Notes ID из почтовой базы данных: включено | отключено). Вы можете включать и отключать функцию, дающую возможность пользователям удалять и сохранять свои ID в отдельном файле. По умолчанию установлено значение Disabled (Отключено).
  • Require SSL when reading encrypted mail: No | Client | Both (Обязательно использовать SSL при чтении зашифрованной почты: нет | клиент | оба). Это поле позволяет один из трех вариантов использования SSL:
    • No. Обрабатывать зашифрованную почту так же, как незашифрованную.
    • Client. Клиент-браузер должен использовать SSL, сервер этого делать не должен.
    • Both. И клиент-браузер и сервер должны использовать SSL.
    По умолчанию применяется вариант Both.
  • Use JavaScript for SSL-redirection requests: Enable | Disable (Использовать JavaScript для запросов на перенаправление SSL: включено | отключено). Вы можете включать и отключать возможность использования JavaScript для перенаправления SSL.
    Примечание. Некоторые обратные (reverse) прокси-серверы неправильно обрабатывают перенаправления 302. В этом случае может помочь данная опция. Не включайте ее, если это не является необходимым.
  • Allow untrusted Internet certificates to be used for S/MIME encryption: Enable | Disable (Разрешить использование недоверенных интернет-сертификатов для шифрования S/MIME: включено | отключено). Вы можете включать и отключать для пользователей возможность применения недоверенных интернет-сертифи- катов для шифрования S/MIME. По умолчанию установлено значение Disabled (Отключено).
Шаг 2: добавление интернет-сертификата и перекрестного сертификата

Чтобы пользователи Domino Web Access могли шифровать и подписывать электронные сообщения, нужно, чтобы отправитель имел интернет-сертификат получателя в Domino Web Access Contacts, Domino Directory или директории LDAP. Отправитель также должен выпустить перекрестный сертификат для клиента или для сертификатора, с помощью которого был выпущен интернет-сертификат получателя, за исключением случаев, когда были включены соответствующие параметры конфигурации и необходимые настройки.

Если для CA получателя выпущен перекрестный сертификат, отправитель может посылать зашифрованные сообщения всем, у кого есть сертификаты, выпущенные этим CA, при условии, что у отправителя будут интернет-сертификаты получателей. Если интернет-сертификат хранится в Domino Directory другого домена или в директории LDAP, то к этой директории должен быть настроен доступ с помощью Directory Assistance.

Чтобы добавить интернет-сертификат и перекрестный сертификат, получатель должен послать пользователю S/MIME-сообщение с цифровой подписью. Пользователь может ответить на сообщение, если он имеет доступ к общему ключу получателя. Однако здесь необходимо некоторое уточнение. Если пользователь Domino Web Access получает подписанное S/MIME-сообщение и добавляет отправителя в список контактов, в запись базы Contacts добавляется сертификат x.509 отправителя. Особенно важно отметить, что, пока добавление отправителя в список контактов не будет выполнено, сертификат не будет доступен для отправки почты.

Шаг 3: обмен сообщениями S/MIME

В следующем примере показан обмен S/MIME-сообщениями между пользователем Domino Web Access и пользователем Lotus Notes.

На рис. 7.19 пользователь Lotus Notes отправил S/MIME-сообщение с цифровой подписью пользователю Domino Web Access. Теперь у пользователя Domino Web Access есть общий ключ пользователя Notes, который он может применить для отправки зашифрованной почты. Индикатором того, что сообщение зашифровано, является наличие небольшой ленточки справа от имени отправителя.

Получение подписанного сообщения S/MIME

увеличить изображение
Рис. 7.19. Получение подписанного сообщения S/MIME

Однако в какой-то момент пользователь Domino Web Access решает направить пользователю Lotus Notes S/MIME-сообщение с цифровой подписью, как показано на рис. 7.20.

Ответ на S/MIME-сообщение с цифровой подписью

увеличить изображение
Рис. 7.20. Ответ на S/MIME-сообщение с цифровой подписью

Пользователь Lotus Notes получает S/MIME-сообщение с цифровой подписью, как показано на рис. 7.21.

Получение S/MIME-сообщения с цифровой подписью

увеличить изображение
Рис. 7.21. Получение S/MIME-сообщения с цифровой подписью
Дальше >>
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >

Вопросы и ответы

вопросов: 0