Почтовые программы - настройка ЭЦП

Не так давно я описывал устройства eToken компании "Аладдин". В этом материале описана процедура запроса и установки сертификата ЭЦП (в память eToken) для дальнейшего его применения в программе работы с электронной почтой.

Общие настройки:

Перед первым подключением eToken на компьютер необходимо установить пакет драйверов и программу обслуживания устройства (eToken PKI client). Пакет допускает установку без отображения какой-либо информации на экране компьютера - для этого при запуске в параметрах командной строки необходимо указать ключи скрытой установки (подробнее – в руководстве пользователя). Кроме того, формат файла установочного пакета позволяет провести автоматическую массовую установку через групповые политики Active Directory.

До настройки программы работы с электронной почтой необходимо получить цифровой сертификат с использованием криптопровайдера токена (eToken CSP). Кроме того, следует также получить сертификат ЦС, выдавшего сертификат пользователю.

Получение сертификата ЭЦП/шифрования электронной почты:

Для получения сертификата ЭЦП/шифрования необходимо выполнить следующие действия:

  • Открыть Internet Explorer, в адресной строке набрать адрес ЦС (адрес вида http://server/certsrv), после чего нажать Enter;
  • Выбрать пункт «Request certificate»;
  • Выбрать пункт «advanced certificate request»;
  • Выбрать пункт «Create and submit request to this CA»;
  • Ввести в окне параметров сертификата необходимые данные (не забудьте выбрать eToken cryptoprovider!):

Параметры запроса сертификата

  • Нажать «Submit».
  • Ответить положительно на вопрос о запроса сертификата веб-узлом:

Подтверждение запроса сертификата

  • Ввести PIN-код eToken (устройство должно быть подключено):

пин-код eToken

После выполнения этих действий запрос на выдачу сертификата помещается в очередь на сервере ЦС. Рекомендую запомнить Request ID, указанный на экране после нажатия кнопки Submit. После одобрения выдачи сертификата администратором необходимо повторно зайти на веб-узел ЦС, и выполнить следующие действия:

  • Выбрать пункт «View the Status of a Pending Certificate Request»;
  • Выбрать запрошенный сертификат (E-Mail Protection Certificate);
  • Выбрать «Install this certificate»;
  • Ответить положительно на вопрос системы безопасности об установке сертификата:

Подтверждение установки сертификата

  • В случае необходимости ввести PIN eToken.

При успешном завершении процедуры появится надпись «Your new certificate has been successfully installed».
Примечание: если ЦС настроен на выдачу сертификатов без одобрения администратором, то за пунктом запроса сертификата сразу последует пункт его инсталляции. И ещё, в процессе обмена информацией с веб-узлом ЦС, может потребоваться установка ActiveX компонентов, которую необходимо будет одобрить, нажав кнопку «Да»:

Запрос ActiveX при выдаче сертификата

Получение сертификата ЦС:

Явное сохранение сертификата ЦС необходимо для настройки программы Mozilla Thunderbird, использующей собственное хранилище сертификатов. Для получения сертификата ЦС необходимо выполнить следующие действия:

  • Открыть Internet Explorer, в адресной строке набрать адрес ЦС (адрес вида http://server/certsrv), после чего нажать Enter;
  • Выбрать пункт «Download a CA certificate, CA chain, or CRL»;
  • Выбрать пункт «Download CA» (Если ЦС является изолированным), или пункт «Download certificate chain», если ЦС является подчинённым;
  • В открывшемся окне задать имя файла и путь для его сохранения, нажать кнопку «Сохранить».

При использовании других почтовых программ необходимо в свойствах eToken (раздел «Дополнительно», вкладка «Сертификаты и ключи») выбрать установленный сертификат и нажать на кнопку «Импортировать путь».

Настройка Mozilla Thunderbird:

В окне «Инструменты»-«Параметры учётной записи» переходим в раздел «Защита». Здесь необходимо нажать кнопку «Устройства защиты». В открывшемся окне нажимаем кнопку «Загрузить». Далее вводим наименование устройства защиты («eToken») и выбираем файл %WinDir%\System32\eTpkcs.dll, после чего нажимаем кнопку «ОК».

Менеджер устройств Thunderbird

Загрузка устройства защиты ThunderBird

Нажимаем кнопку «Выбрать» в области «Личный сертификат для подписи», и выбираем сертификат, находящийся в памяти токена, который будет использоваться для подписи корреспонденции. Далее выбираем тот же (или другой) сертификат в области «Личный сертификат для шифрования».

Выбор сертификата Thunderbird

Импортируем сертификат, удостоверяющий сам ЦС (центр сертификации), выдавший сертификат пользователя. Для этого нужно нажать кнопку «Просмотр сертификатов», затем в открывшемся окне перейти на вкладку «Центры сертификации», и нажать кнопку «Импорт». Далее необходимо выбрать файл сертификата ЦС для импорта, и нажать кнопку «Открыть». В открывшемся окне устанавливаем уровень доверия к сертификату («Доверять при идентификации пользователей электронной почты»).

Центры сертификации ThunderBird

Для автоматического добавления электронной подписи к создаваемому письму необходимо установить опцию «Подписывать сообщения цифровой подписью» в разделе «Защита» свойств учётной записи.

Параметры учётной записи ThunderBird

Добавляем адрес списка отзыва сертификатов ЦС. В меню выбираем пункт «Инструменты»-«Настройки», в открывшемся окне переходим в раздел «Дополнительно», и затем переходим на вкладку «Сертификаты», где нажимаем кнопку «Списки отзыва сертификатов». В открывшемся окне нажимаем кнопку «Импорт», и указываем адрес списка отзыва ЦС (адрес вида http://server/CertEnroll/list-name.crl):

Импорт CRL ThunderBird

Нажимаем кнопку «ОК». Далее появится вопрос о настройке автообновления списка. Нажимаем «Да» и вводим параметры обновления:

Автообновление CRL ThunderBird

Опции автообновления CRL ThunderBird

Настройка TheBat!:

Выбираем пункт меню «Свойства»-«Параметры S/MIME». Устанавливаем параметры, как указано ниже:

Параметры S/MIME TheBat!

Для автоматического добавления электронной подписи к создаваемому письму в свойствах почтового ящика («Ящик»-«Свойства почтового ящика») переходим в раздел «Параметры», и устанавливаем опцию «Подписать перед отправкой».

Параметры ящика TheBat!

Настройка Outlook Express:

В окне свойств учётной записи («Сервис»-«Учётные записи»-«Свойства») выбираем вкладку «Безопасность». Далее нажимаем кнопку «Выбрать» и указываем сертификаты для подписи и шифрования:

Параметры учётной записи Outlook Express

Выбор сертификата Outlook Express

Для автоматического добавления электронной подписи к создаваемому письму на вкладке параметров безопасности (пункт меню «Сервис»-«Параметры») нужно остановить опцию «Включать цифровую подпись во все отправляемые сообщения»:

Параметры защиты Outlook Express

Для автоматического удаления отозванных сертификатов из программы нажимаем кнопку «Дополнительно», после чего в открывшемся окне отмечаем опцию «Проверять отмену цифровых подписей»-«Только при нахождении в сети»:

Настройки CRL Outlook Express

Настройка Outlook 2003:

Выбираем пункт меню «Сервис»-«Программы». В открывшемся окне переходим на вкладку «Безопасность». Нажимаем кнопку «Параметры» в разделе настроек «шифрованная электронная почта». В открывшемся окне нажимаем «Выбрать» и указываем сертификаты для подписи и шифрования:

Изменение настройки безопасности Outlook 2003

Выбор сертификата Outlook 2003

Для автоматического добавления электронной подписи к создаваемому письму на странице параметров безопасности нужно установить опцию «Добавлять цифровую подпись к исходящим сообщениям»:

Параметры защиты Outlook 2003

Для автоматического удаления отозванных сертификатов из программы нажимаем кнопку «Дополнительно», после чего в открывшемся окне отмечаем опцию «Проверять отмену цифровых подписей»-«Только при нахождении в сети»:

CRL Outlook 2003

Вы здесь: Home Пользователю Почтовые программы - настройка ЭЦП
BLOG COMMENTS POWERED BY DISQUS