Администрирование в вопросах и ответах

       

Использование взаимных сертификатов серверов и рассылки подписанных S/MIME сообщений


Domino использует два типа взаимных сертификатов: Notes и интернет сертификатов. Взаимные сертификаты Notes позволяют пользователям в различных иерархически сертифицированных организациях доступ на сервера, и получать подписанные сообщения почты. Взаимные сертификаты интернет позволяют пользователям получать подписанные и шифрованные почтовые сообщения и посылать зашифрованные почтовые сообщения.

В иерархических именах Notes, Вы неявно доверяете сертификатам, выпущенным любым из Ваших предков. Например, John/Sales/NYC/Acme может доверять NYC/Acme, чтобы выпустить сертификаты для Services/NYC/Acme или Sally/Accounting/NYC/Acme. Но если Вы не имеете общего предка с пользователем или сервером, Вы нуждаетесь во взаимном сертификате, чтобы доверять пользователю или серверу. Когда Вы или один из Ваших предков создаете взаимный сертификат, Вы доверяете общественному ключу, указанному в том сертификате.

Например. Взаимный сертификат Fred/Sales/ABC, в действительности говорит следующее – I trust that Fred has a trustworthy public key - я полагаю, что можно доверять общественному ключу Фреда.

Если Вы выпускаете взаимный сертификат Authority Certificate интернета, Вы доверяете CA, чтобы выпустить сертификаты пользователям и серверов, ниже в дереве имен.

Например. Взаимный сертификат Sales/ABC означают, что Вы доверяете Sales/ABC, чтобы выпустить сертификат для Fred/Sales/ABC.

Взаимные сертификаты Notes.

Чтобы позволить пользователям и серверам из различных иерархически сертифицированных организаций доступ на сервера в другой организации, Вы используете взаимные сертификаты. Каждая организация выпускает взаимный сертификат для ID из другой организации, затем хранит взаимный сертификат, который он выпускает в персональной адресной книге или в Domino Directory.

Например, если Alan Jones/Sales/East/Acme хочет получить доступу к серверу Support/Seascape, он нуждается во взаимном сертификате от /Seascape, а сервер Support/Seascape нуждается во взаимном сертификате для /Sales/East/Acme.
Когда Alan Jones/Sales/East/ Acme пробует получить доступ на сервер, он (сервер) проверяет взаимные сертификаты. Если сервер находит сертификат, он проверяет, позволяется ли Alan Jones/Sales/East/Acme доступ на сервер.

Вы также используете взаимные сертификаты, чтобы проверить цифровую подпись пользователя из другой организации. Обратите внимание, чтобы проверить подпись, взаимный сертификат необходим только в одном направлении, проверяющий нуждается во взаимном сертификате для подписывающего лица.

Взаимные сертификаты могут создаваться в различных уровнях организации. Например, чтобы позволить каждому пользователю в пределах одной организации, регистрироваться на сервере в другой организации, каждая организация имеет взаимный сертификат для сертификата другой организации в Domino Directory. Взаимные сертификаты могут также выпускаться на уровне индивидуальных пользователей или ID серверов.

Пример. Чтобы позволить единственному пользователю регистрироваться на любом сервере в другой орг. единице организации, или проверить цифровой подпись пользователя в этой орг. единице, ID пользователя нуждается во взаимном сертификате для орг. единицы. Организация в свою очередь нуждается во взаимном сертификате этого пользователя.

Два взаимных сертификата не обязательно должны быть симметричными.

Пример. Одна организация может иметь взаимный сертификат для орг. единицы, а другая организация может иметь взаимный сертификат для сертификата организации.

Если Вы имеете взаимные сертификаты для организации, или сертификат орг. единицы, настройте сервер для ограничения доступа, на определенные сервера, которые хранят конфиденциальную информацию. Позвольте серверам Вашей организации доступ на сервера другой организации, но запретите серверам этой организации доступ, на Ваши сервера. Обменяйтесь взаимными сертификатами, как требуется, но настройте на серверах списки доступа, чтобы запретить доступ серверов из других организаций.

Сервера хранят взаимные сертификаты в Domino Directory.


Для доступа на сервера, пользователи хранят копии взаимных сертификатов в своих персональных адресных книгах. Взаимные сертификаты, сохраненные в персональных адресных книгах пользователя, используются только этим пользователем - то есть только пользователем, который имеет взаимный сертификат, может использовать его.

Взаимный сертификат интернет.

Взаимный сертификат интернета - сертификат для интернет клиента, который утверждает идентичность пользователя или сервера и утверждает идентичность Authority Certificate (CA), который сертифицировал пользователя или сервер. Взаимный сертификат интернет гарантирует получателю шифрованного сообщения S/MIME, что сертификату отправителя можно доверять и что сертификат имеет силу, для подписанного сообщения S/MIME. Он также подтверждает идентичность сервера, когда клиент Notes использует SSL, для доступа на интернет сервер.

Взаимные сертификат интернета сохраняются в документах “Контакта” в персональных адресных книгах и могут использоваться только пользователем, для которого они были выпущены.

Взаимный сертификат интернета может быть помечен специальной опцией доверия, доверять сертификату или не доверять. Отмечая взаимный сертификат опцией - не доверять, пользователи могут запретить посылать или получать зашифрованную или подписанную почту, без удаления взаимного сертификата из персональной адресной книги. Сертификаты интернет автоматически добавляются к персональной адресной книге и автоматически получают статус - доверия.


Содержание раздела