Защита конфиденциальности электронной почты в регулируемых отраслях

Защита конфиденциальности электронной почты в регулируемых отраслях
Посетителей: 6139 \| Просмотров: 14556 (сегодня 0)	Шрифт:

Проверка возможности приложения Outlook Express принимать сообщения электронной почты, настроенные на обеспечение конфиденциальности

Чтобы проверить, можно ли принимать электронные сообщения, для которых настроены цифровые подписи и шифрование, можно воспользоваться приложением Outlook Express.

Просмотр сообщения, содержащего цифровую подпись, при помощи приложения Outlook Express

1.	Войдите в домен как член группы пользователей домена.
2.	В меню Пуск выберите пункты Все программы и Outlook Express.
3.	При запросе введите пароль.
4.	В папке «Входящие» найдите тестовое сообщение, содержащее цифровую подпись, и дважды щелкните его.
5.	При открытии тестового сообщения приложение Outlook Express отобразит следующее сообщение для объяснения цифровых подписей. Установите флажок Больше не выводить это окно и нажмите кнопку Продолжить.
6.	Чтобы проверить подпись, нажмите кнопку Проверить подпись. После нажатия кнопки Проверить подпись, появится диалоговое окно Проверка цифровой подписи, указывающее, что подпись действительна.

Таким образом можно проверить цифровую подпись сообщения.

Просмотр зашифрованного сообщения в приложении Outlook Express

1.	Войдите в домен как член группы пользователей домена.
2.	В меню Пуск выберите пункты Все программы и Outlook Express.
3.	При запросе введите пароль.
4.	В папке «Входящие» найдите зашифрованное тестовое сообщение и дважды щелкните его.
5.	При открытии тестового сообщения приложение Outlook Express отобразит следующее сообщение для объяснения шифрования. Установите флажок Больше не выводить это окно и нажмите кнопку Продолжить.
6.	Для проверки подписи, нажмите кнопку Проверить шифрование. После нажатия кнопки Проверить шифрование появится диалоговое окно Проверка шифрования, в котором будет указано, что зашифрованное сообщение действительно.

Таким образом можно проверить шифрование сообщения.

Выполнив все эти действия, можно проверить все элементы использования стандарта S/MIME в приложении Outlook Express. Эти сведения дают представление о том, как система S/MIME в приложении Outlook Express будет работать для пользователей.

Разрешение проблем, возникающих при обеспечении конфиденциальности сообщений электронной почты

В этом разделе описываются распространенные проблемы, возникающие в процессе работы с системой S/MIME на базе сервера Exchange Server 2003. Хотя данный список и не является исчерпывающим, он содержит сведения о проблемах, которые могут возникнуть в процессе развертывания, а также рекомендации по их устранению.

Проблема. Не удается распознать цифровую подпись отправителя

Данная проблема может быть связана с тем, что цифровой сертификат корневого или промежуточного центра сертификации не представлен в находящемся на сервере Exchange Server хранилище сертификатов для локального компьютера получателя.

Решение

Для решения данной проблемы импортируйте цифровой сертификат корневого или промежуточного центра сертификации отправителя в папку доверенных корневых центров сертификации, которая размещена в находящемся на сервере Exchange Server хранилище сертификатов локального компьютера получателя. Импортирование цифрового сертификата для корневого центра сертификации обеспечит соответствующее доверие всем цифровым сертификатам, выданным корневыми центрами сертификации в иерархической модели. Организациям, в которых предоставление подобного рода доверия запрещено политиками безопасности, в качестве альтернативы рекомендуется рассмотреть стратегии перекрестной сертификации. Подробную информацию об использовании перекрестной сертификации при работе с центром сертификации сервера Windows Server 2003 см. в статье «Планирование и внедрение перекрестной сертификации и квалифицированного подчинения при работе с ОС Windows Server 2003» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Импорт цифрового сертификата для корневого центра сертификации отправителя в папку доверенных корневых центров сертификации

1.	Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
2.	Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.
3.	В меню Файл выберите пункт Добавить или удалить оснастку.
4.	На вкладке Изолированная оснастка нажмите кнопку Добавить.
5.	Выберите пункт Сертификаты и нажмите кнопку Добавить. Выберите пункт учетной записи компьютера и нажмите кнопку Далее.
6.	В окне Учетная запись компьютера выберите пункт локальным компьютером (тем, на котором выполняется эта консоль) и нажмите кнопку Готово.
7.	В консоли управления MMC, разверните элемент Сертификаты (локальный компьютер) и затем папку Доверенные корневые центры сертификации.
8.	Щелкните правой кнопкой мыши на панели сведений, выберите пункт Все задачи и нажмите кнопку Импорт.
9.	На первой странице Мастера импорта сертификатов нажмите кнопку Далее.
10.	В диалоговом окне Имя файла укажите имя и размещение файла, содержащего цифровой сертификат корневого центра сертификации, и нажмите кнопку Далее.
11.	В окне Хранилище сертификатов выберите пункт Поместить все сертификаты в это хранилище, убедитесь в том, что в диалоговом окне Хранилище сертификатов указаны Доверенные корневые центры сертификации, и нажмите кнопку Далее.
12.	В последнем окне нажмите кнопку Готово.

После импорта цифрового сертификата для корневого центра сертификации отправителя сервер Exchange Server сможет от имени получателя проверять цифровую подпись отправителя.

Импорт цифрового сертификата для промежуточного центра сертификации отправителя в папку промежуточных центров сертификации

1.	Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
2.	Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.
3.	В меню Файл выберите пункт Добавить или удалить оснастку.
4.	На вкладке Изолированная оснастка нажмите кнопку Добавить.
5.	Выберите пункт Сертификаты и нажмите кнопку Добавить. Выберите пункт учетной записи компьютера и нажмите кнопку Далее.
6.	В окне Учетная запись компьютера выберите пункт локальным компьютером (тем, на котором выполняется эта консоль) и нажмите кнопку Готово.
7.	В консоли управления MMC разверните пункт Сертификаты – Локальный компьютер и раскройте папку Промежуточные центры сертификации.
8.	Щелкните правой кнопкой мыши на панели сведений, выберите пункт Все задачи и нажмите кнопку Импорт.
9.	На первой странице Мастера импорта сертификатов нажмите кнопку Далее.
10.	В диалоговом окне Имя файла укажите имя и размещение файла, содержащего цифровой сертификат корневого центра сертификации, и нажмите кнопку Далее.
11.	В окне Хранилище сертификатов выберите пункт Поместить все сертификаты в это хранилище, убедитесь в том, что в диалоговом окне Хранилище сертификатов указаны Промежуточные центры сертификации, и нажмите кнопку Далее.
12.	В последнем окне нажмите кнопку Готово.

После импорта цифрового сертификата для промежуточного центра сертификации отправителя сервер Exchange Server сможет от имени получателя проверять цифровую подпись отправителя.

Проблема. Не удается получить доступ к списку отзыва сертификатов (CRL)

Данная проблема может возникнуть, если доступ к точке распространения списков отзыва сертификатов, указанной в цифровых сертификатах, возможен только через брандмауэр, либо если сервер пользователя Exchange Server не обладает достаточными правами для получения доступа к точке распространения списков отзывов сертификатов.

Решение

Для решения данной проблемы, выполните одну из следующих операций:

•	Вручную загрузите списки отзыва сертификатов из точки распространения списков отзыва сертификатов и импортируйте их в находящееся на сервере Exchange Server хранилище сертификатов локального компьютера пользователя.
•	Установите и настройте клиент брандмауэра для необходимых протоколов на сервере получателя Exchange Server.
•	Предоставьте учетной записи LocalSystem, находящейся на сервере пользователя Exchange Server, разрешение на доступ к спискам отзыва сертификатов или перенастройте точку распределения сертификатов таким образом, чтобы она не требовала проверки подлинности.

Импорт списков отзыва сертификатов вручную

1.	Войдите на сервер Exchange Server получателя как член локальной группы администраторов.
2.	Загрузите списки отзыва сертификатов из точки распространения списков отзыва сертификатов, указанной в цифровых сертификатах.
3.	Правой кнопкой мыши щелкните файл с расширением .cer или .crl, выберите пункт Установить сертификат или Установить списки отзыва (CRL) и нажмите кнопку Далее.
4.	В мастере импорта сертификатов выберите пункт Автоматически выбрать хранилище на основе типа сертификата.

Проблема. Несовпадение сертификатов при работе с разными клиентами сообщений электронной почты

Данная проблема может возникнуть в связи с тем, что в службе Active Directory, в которой могут храниться цифровые сертификаты системы S/MIME, есть два атрибута: userCertificate и userSMIMECertificate. По умолчанию клиент Outlook в первую очередь обрабатывает атрибут userSMIMECertificate и использует любой подходящий сертификат системы S/MIME, найденный в этом атрибуте. Другие клиенты сообщений электронной почты, включая веб-клиент Outlook (OWA), могут в первую очередь обрабатывать сертификат userCertificate и использовать любой подходящий сертификат системы S/MIME, найденный в этом атрибуте.

Если в атрибутах userCertificate и userSMIMECertificate хранятся разные сертификаты, то возможно, что клиенты Outlook и OWA будут использовать разные цифровые сертификаты, поскольку каждый из них обращается к разным типам атрибутов службы Active Directory.

Решение

Для решения данной проблемы убедитесь в том, что в атрибутах userCertificate и userSMIMECertificate хранятся одинаковые сертификаты. Для получения дополнительной информации см. статью После перехода с сервера управления ключами на инфраструктуру открытых ключей клиент Outlook 2003 продолжает использовать старые сертификаты» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Проблема. Приложение Outlook Express автоматически пытается подписать сообщения электронной почты

Когда пользователь отвечает на сообщение или отправляет подписанное сообщение, с помощью приложения Outlook Express, это приложение по умолчанию разрешает цифровую подпись для этого сообщения. В том случае, если пользователь пытается отправить сообщение, не имея действующего сертификата подписи, приложение Outlook Express выводит на экран сообщение об ошибке Вы не имеете цифрового сертификата и не отправляет сообщение.

Решение

Для решения данной проблемы запретите цифровую подпись для этого сообщения. Дополнительные сведения см. в статье «При попытке отправить сообщение электронной почты или ответить на сообщение электронной почты, содержащее цифровую подпись, появляется сообщение об ошибке» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Аннотация

С развитием Интернета в последние годы служба электронной почты серьезно изменилась. Она больше не является лишь средством обеспечения связи внутри организаций. Сегодня электронная почта объединяет людей из разных компаний, стран и регионов. Она даже позволяет общаться людям, находящимся на земле и в космосе, так, словно они находятся в одном здании. На сегодняшний день электронная почта стала, возможно, наиболее важной функцией Интернета. По мере того, как день за днем роль электронной почты в жизни отдельных людей и целых компаний становится все более активной, растет и ее значимость.

Беспрецедентный рост числа пользователей электронной почты стал возможен благодаря всемирному распространению основополагающего протокола, или «языка», сообщений электронной почты — протокола SMTP. Стандарт SMTP позволяет различным системам электронной почты, подключенным к Интернету, обмениваться информацией.

Однако, несмотря на все преимущества протокола SMTP для Интернета, он имеет конструктивный недостаток. Стандарт SMTP первоначально разрабатывался для передачи коротких, относительно неважных сообщений в закрытых сетях, а не для передачи важной и конфиденциальной информации по мировым сетям. Ни один из разработчиков стандарта SMTP даже не представлял, что этот стандарт будет когда-нибудь играть такую важную роль, как сейчас. В связи с этим стандарт SMTP не приспособлен для защиты подобной информации в процессе ее передачи по современным сетям. Он предназначен для передачи более простой информации по более простым сетям, что отражено даже в его названии: Simple Mail Transfer Protocol (Простой протокол передачи сообщений). К примеру, стандарт SMTP передает информацию через Интернет таким образом, что любой желающий может прочитать сообщение.

К счастью, появился новый стандарт S/MIME, который призван обеспечить защиту при передаче сообщений электронной почты SMTP. При использовании стандарта S/MIME, шифрование помогает защитить содержание сообщения электронной почты, а цифровая подпись позволяет подтвердить личность указанного отправителя сообщения.

Применение стандарта S/MIME в электронной почте требует решения, которое охватывало бы широкий спектр продуктов и технологий.

Страницы: < 1 2 3 4

Иcточник: Microsoft TechNet • Опубликована: 24.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: