SSL сертификат для почтового сервера | IT Блог

Что требуется:
Шифрование почтовых сообщений на всех протоколах по которым они ходят.

Исходные данные:
Домен – my-sertif.ru
MX сервер (доменное имя на котором крутится почтарь) – mail.my-sertif.ru, он же сайт с вебмордой
Шифруемые протоколы – SMTP, POP, IMAP, HTTP

Получал сертификат у регистратора домена, т.е. на nic.ru. Там есть неплохой мануал, но, почему-то, они думают что сертификаты используются только для WEB, дальше объясню почему.

Заказал самый дешевый сертификат для физического лица на февраль 2021г. – “Thawte SSL123” на три года за 6570р. В общем-то не дорого, по сравнению с другими.
Стоит отметить, что данный сетрификат поддерживает только одно доменное имя, а не один домен. И может:
1. шифровать трафик
2. удостоверять владельца сайта
Если не заниматься электронной коммерцией и не заботиться о безопасности электронной корреспонденции, то по сути, авторизированная подпись и не нужна, но google mail с недавних пор перестал доверять самоподписным сертификатам при импорте почты из других почтовых служб. Поэтому и пришлось прикручивать доверенный сертификат.

Вообще, не лишним будет прочесть это.

Итак, для начала нужен CSR, как написано на nic.ru это:

“CRS(Certificate Signing Request) — запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.”

Генерируем. Rucenter предлагает сгенерить приватный ключ для апача такой командой:

openssl genrsa -des3 -out private.key 2048

В общем-то команда правильная и, если предполагается шифровать только HTTP, POP и IMAP, то можно делать как написано и дальше не читать. Но Postfix такой ключ не примет и заставить его никак нельзя (но к голубятне и индейцу прикрутить все-же можно). В официальном руководстве Postfix’а написано:

In order to use TLS, the Postfix SMTP server generally needs a certificate and a private key. Both must be in “PEM” format. The private key must not be encrypted, meaning: the key must be accessible without a password.

Т.е. приватный ключ должен быть без пароля. За создание пароля отвечает параметр -des3, поэтому надо сгенерировать без него, переходим в каталог в котором будут храниться пароли и генерим сначала приватный ключ:

mkdir /etc/serts
cd /etc/serts
openssl genrsa -out private.key 2048

который выглядит примерно так:

а затем и CSR ключ, где my-sertif.ru – название именно домена, а не того доменного имени для которого делается сертификат. По ходу надо ответить на несколько вопросов, при чем надо быть внимательным, т.к. исправить уже будет нельзя, только перевыпустить:

# openssl req -new -key private.key -out notessysadmin.com.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Tomsk State
Locality Name (eg, city) []:Tomsk
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:mail.notessysadmin.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

там где ответил (выделено жирным) – поля обязательные для заполнения, где нет не обязательные. Но все-равно отображение названия компании My Company при просмотре сертификата не будет, т.к. его тип этого не подразумевает, а так же сама процедура не проводит проверку компании на валидность, только владение доменом.
Появился файл запроса my-sertif.ru.csr:

Вводим в поле CSR на сайте, настраиваем нехитрые парамертры и отсылаем запрос.
Через несколько минут приходит письмо с thawte.com о просьбе подтверждения заказа, затем еще одно и, примерно через час, с nic.ru о том что процедура выпуска сертификата успешно завершена со ссылкой на сам сертификат.
Для скачивания предоставлены четыре сертификата: корневой, два промежуточный и сертификат на домен mail.my-sertif.ru, качаем все.

Про сертификаты: Гражданство РФ по браку: документы, порядок получения 2021

Опять же с никру:

Промежуточный корневой сертификат является связующим звеном в иерархической цепочке сертификатов. С его помощью пользователь сайта, на котором установлен сертификат, может проверить всю цепочку доверия и убедиться в подлинности выпущенного сертификата.

другими словами это сертификат центра сертификации (CA – Certification authority), а вот зачем их два – хз, сначала подумал чтобы показать всю цепочку от созданного сертификата до корня, но опытным путем выяснилось, что апач нормально принимает рутовый сертификат (т.е. при заходе на https://mail.my-sertif.ru не выскакивает окно о предупреждении), а вот отправка и прием из клиента Mozilla Thunderbird рутовый сертификат не принимался, но подошел один из промежуточных.

Переименовываем и копируем ключи из полученных файлов на сервер:

mail_notessysadmin_com_YYYY_MM_DD.crt -> mail.my-sertif.ru.crt root_pem_thawte_ssl123_1.crt -> root.crt intermediate_pem_thawte_ssl123_1.crt -> intermediate1 intermediate_pem_thawte_ssl123_2.crt -> intermediate2

по сути назвать их можно как угодно.

В итоге в /etc/serts получилось шесть файлов:
private.key – созданный ранее приватный ключ
my-sertif.ru.csr – запрос на сертификат, теперь можно удалить
root.crt – корневой сертификат thawte
intermediate1 – первый промежуточный сертификат
intermediate2 – второй промежуточный сертификат
mail.my-sertif.ru.crt – сам сертификат, ради которого все и затевалось

В общем-то все. Настройка демонов на SSL шифрование тема отдельной статьи, приведу только блоки с сертификатами:

#Apache - конфиг файла с доменом:
SSLCertificateKeyFile "/etc/certs/private.key"
SSLCertificateFile "/etc/certs/mail.notessysadmin.com.crt"
SSLCACertificateFile "/etc/certs/root.crt"

#Dovecot - dovecot.conf:
ssl_cert_file = /etc/certs/mail.notessysadmin.com.crt
ssl_key_file = /etc/certs/private.key
ssl_ca_file = /etc/certs/intermediate2.crt

#Postfix - main.cf:
smtpd_tls_key_file = /etc/certs/private.key
smtpd_tls_cert_file = /etc/certs/mail.notessysadmin.com.crt
smtpd_tls_CAfile = /etc/certs/intermediate2.crt

Если все правильно настроено, то сертификаты не будут просить подтверждения исключения безопасности и не добавятся к списку серверов почтового клиента в управлении сертификатами. Все должно работать.

UPD. Можно получить бесплатный сертификат такого же типа, который описан в заметке, только на один год, на startssl.com. Подробное описание как это сделать. Пользуюсь данным сервисом уже года два, рекомендую. Продлить данный сертификат, как и любой другой – нельзя, только перевыпустить.

Защита электронной почты сертификатами s/mime

GlobalSign является ведущим поставщиком надежных решений идентификации и безопасности, которые позволяют организациям, крупным предприятиям, поставщикам облачных услуг и инноваторам IoT по всему миру обеспечить безопасность онлайн-коммуникаций, управлять миллионами проверенных цифровых учетных данных и автоматизировать аутентификацию и шифрование. Масштабируемая инфраструктура открытых ключей (PKI) и решения идентификации поддерживают миллиарды сервисов, устройств, людей и вещей, составляющих Всеобъемлющий Интернет (IoE).

Использование криптопро csp в outlook 2000

Использование средств криптографической защиты в Outlook 2000 для клиента во многом совпадает с использованием в Outlook Express.

Особенностями использования почтовой программы Outlook 2000 и сервера Exchange являются:

Использование криптопро csp в outlook 2002/2003

Особенностями использования почтовой программы Outlook 2002/2003 и сервера Exchange являются:

1. Криптопровайдер КриптоПро CSP поддерживает только формат S/MIME защищенных почтовых сообщений, и поэтому в настройках сервера Exchange должна стоять опция использования формата MIME и разрешения маршрутизации защищенных сообщений S/MIME.

2. Криптопровайдер КриптоПро CSP не поддерживает работу KMS сервера Exchange и хранения сертификатов открытых ключей в глобальной адресной книге. Поэтому для создания сертификатов открытых ключей должен использоваться внешний центр сертификации.

3. Для хранения сертификатов открытых ключей абонентов используйте локальную или общую (корпоративную) папку Контакты.

Использование криптопро csp в outlook 2007

Использование средств криптографической защиты в Outlook 2007 во многом совпадает с использованием в Outlook ранних версий. Однако стоит отметить следующие особенности:

1. Почтовая программа Outlook 2007 поддерживается только криптопровайдером КриптоПро CSP версии 3.0 (с установленным пакетом обновления SP2) и выше.

2. Криптопровайдер КриптоПро CSP поддерживает только формат S/MIME защищенных почтовых сообщений, и поэтому в настройках сервера Exchange должна стоять опция использования формата MIME и разрешения маршрутизации защищенных сообщений S/MIME.

3. Криптопровайдер КриптоПро CSP не поддерживает работу KMS сервера Exchange и хранения сертификатов открытых ключей в глобальной адресной книге. Поэтому для создания сертификатов открытых ключей должен использоваться внешний центр сертификации.

4. Для хранения сертификатов открытых ключей абонентов используйте локальную или общую (корпоративную) папку Контакты.

Конфигурация outlook 2021

Откройте меню File (Файл), выберите пункт Options (Параметры). В открывшемся окне выберите в закладке Trust Center (Центр управления безопасностью) пункт Trust Center Settings (Параметры Центра управления безопасностью).

Выберите закладку E-mail Security (Защита электронной почты) и выберите Параметры.

Выберите личные сертификаты, соответствующие ключам подписи и шифрования, используя кнопку Choose (Выбрать).

Отображаемый диалог позволяет пользователю указать свои личные сертификаты, которые будут использоваться при выборе личных ключей пользователя для формирования электронной цифровой подписи и расшифровки входящих сообщений. Установите флаг Send these certificates with signed messages (Передавать сертификаты с сообщением).

Окно выбора сертификата:

После выбора сертификата необходимо ввести Security Settings Name (Имя конфигурации). В противном случае Outlook выдаст ошибку:

В закладке E-mail Security (Защита электронной почты) можно включить режимы Encrypt contents and attachments for outgoing messages (Шифровать содержимое и вложения исходящих сообщений) и Add digital signature to outgoing messages (Добавлять цифровую подпись к исходящим сообщениям) для того, чтобы шифрование и электронная подпись выполнялись автоматически для каждого сообщения.

Если эти режимы не включены, опции шифрования и подписи нужно будет включать для каждого отправляемого сообщения. В этом же диалоге дополнительно можно установить опцию Send clear text signed message when sending signed messages (Отправлять подписанные сообщения открытым текстом).

Про сертификаты: Частые вопросы по сертификату КЭП и JaCarta SE - Контур.Алко

При включенном режиме подпись формируется в виде одного отдельного вложения для сообщения. Если режим выключен — текст сообщения и все вложения объединяются в единое целое и кодируются в соответствии с правилами кодирования BASE64, после чего результат кодирования подписывается.

Конфигурация outlook 2021

Выберите закладку E-mail Security (Защита электронной почты).

Выберите личные сертификаты, соответствующие ключам подписи и шифрования, используя кнопку Choose (Выбрать).

Окно выбора сертификата:

Настройка outlook 2000

Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность. Нажмите кнопку Изменить настройки….

Выберите личные сертификаты, соответствующие ключам подписи и шифрования, используя кнопку Выбрать.

Как уже было отмечено ранее, в диалоге выбора сертификата отображаются только сертификаты, имеющие совпадающий адрес электронной почты и разрешенные для защиты электронной почты.

Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность.

В отображаемом диалоге можно включить режимы Шифровать содержимое и вложения исходящих сообщений и Добавлять цифровую подпись к исходящим сообщениям для того, чтобы шифрование и электронная цифровая подпись

выполнялись автоматически для каждого сообщения.

Если эти режимы не включены, опции шифрования и подписи нужно будет включать для каждого отправляемого сообщения.

В этом же диалоге дополнительно можно установить опцию Отправлять подписанные сообщения открытым текстом. При включенном режиме подпись формируется в виде одного отдельного вложения для всех вложений.

Если режим выключен — сообщения и все вложения будут объединены в единое вложение с включенной в него цифровой подписью.

Настройка outlook 2002/2003

Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность. Нажмите кнопку Параметры.

Выберите личные сертификаты, соответствующие ключам подписи и шифрования, используя кнопку Выбрать. Отображаемый диалог позволяет пользователю указать свои личные сертификаты, которые будут использоваться при выборе личных ключей

пользователя для формирования электронной цифровой подписи и расшифрования входящих сообщений. Как уже было отмечено ранее, в диалоге выбора сертификата отображаются только сертификаты, имеющие совпадающий адрес электронной почты и

разрешенные для защиты электронной почты. Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность. В отображаемом диалоге можно включить режимы Шифровать содержимое и вложения исходящих сообщений и

Добавлять цифровую подписьк исходящим сообщениям для того, чтобы шифрование и электронная цифровая подпись выполнялись автоматически для каждого сообщения.

Настройка outlook 2007

Выберите пункт меню Сервис, Центр управления безопасностью и нажмите на закладку Защита электронной почты. Нажмите кнопку Параметры.

Выберите пункт меню Сервис, Центр управления безопасностью и нажмите на закладку Защита электронной почты.

Если эти режимы не включены, опции шифрования и подписи нужно будет включать для каждого отправляемого сообщения. В этом же диалоге дополнительно можно установить опцию Отправлять подписанные сообщения открытым текстом. При включенном режиме подпись формируется в виде одного отдельного вложения для всех вложений. Если режим выключен — сообщения и все вложения будут объединены в единое вложение с включенной в него цифровой подписью.

Настройка outlook express

Выберите пункт меню Сервис, Учетные записи… и нажмите на закладку Почта. В отображаемом списке учетных записей выберите ту, которую необходимо настроить, и нажмите кнопку Свойства. В отображаемом диалоге выберите закладку Безопасность.

Про сертификаты: Наши предприятия - официальный сайт АО «Фармстандарт»

Как уже было отмечено раннее, в диалоге выбора сертификата отображаются только сертификаты, имеющие совпадающий адрес электронной почты и разрешенные для защиты электронной почты.

Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность.

В отображаемом диалоге можно включить режимы Шифровать содержимое и вложения исходящих сообщений и Включить цифровую подпись во все отправляемые сообщения для того, чтобы шифрование и электронная цифровая подпись

выполнялись автоматически для каждого сообщения. Если эти режимы не включены, опции шифрования и подписи нужно будет включать для каждого отправляемого сообщения.

Нажмите кнопку Дополнительно. В отображаемом диалоге установите следующие режимы:

Шифровать при отправке шифрованной почты самому себе. Установка режима включения дает возможность отправителю расшифровывать отправленные им сообщения.

Добавлять мой сертификат при отправлении сообщений с подписью.

Установка этого режима автоматически будет добавлять сертификат отправителя ко всем сообщениям. Этот режим позволяет производить обмен сертификатами с использованием подписанного сообщения, а затем использовать полученные сертификаты для

последующего шифрования сообщений между адресатами.

Кодировать сообщения перед подписыванием (непрозрачная подпись). При включенном режиме сообщения и все вложения будут объединены в единое вложение с включенной в него цифровой подписью. Если режим выключен — подпись формируется в

виде одного отдельного вложения для всех вложений.

Автоматически добавлять сертификат отправителя в адресную книгу. При включенном режиме сертификаты, передаваемые в составе подписанного сообщения, будут автоматически добавляться в адресную книгу.

Проверять, не были ли отозваны сертификаты:

только при нахождении в сети – установка флага проверки приводит к тому, что каждая операция формирования или проверки электронной цифровой подписи будет сопровождаться проверкой на отзыв сертификата.

Для проверки на отзыв используется список отозванных сертификатов (CRL), информация о нахождении которого, записывается в виде дополнения в сертификате каждого пользователя. По умолчанию данная опция не включена, и Outlook Express

не отслеживает факта компрометации ключей пользователей.

никогда не проверять – проверка на отзыв не выполняется.

Отправка подписанных сообщений

Для создания и отправки подписанного сообщения нажмите кнопку Создать или выберите пункт меню Файл, Создать, Сообщение.

Выберите получателя сообщения (поле Кому) и введите тему сообщения. Если письмо будет содержать некоторые файлы, добавьте их в письмо, используя кнопку Вложить.

Для отправки сообщения в подписанном виде нажмите кнопку, затем кнопку Параметры безопасности, и в отображаемом диалоге установите флаг Добавить в сообщение цифровую подпись.

После того, как сообщение подготовлено к отправке, нажмите кнопку Отправить.

Если сертификат, с помощью которого подписано сообщение, был отозван, то появится следующее предупреждение, а само сообщение не будет отправлено.

Отправка шифрованных сообщений

Для создания и отправки подписанного сообщения нажмите кнопку Создать сообщение или выберите пункт меню Файл, Создать, Сообщение.

Для отправки сообщения в зашифрованном виде проверьте состояние кнопки Зашифровать.

Она должна быть нажата и должен быть виден признак шифрованного сообщения в правой части экрана. После того, как сообщение подготовлено к отправке, нажмите кнопку Отправить.

При попытке зашифровать письмо на открытом ключе владельца отозванного сертификата, возникнет та же ситуация, что и при отправке сообщения, подписанного с помощью отозванного сертификата. А предупреждающее окно будет выглядеть так:

Получение сертификата открытого ключа абонента для шифрования сообщений

Для шифрования сообщений в адрес других пользователей необходимо предварительно произвести обмен открытыми ключами сертификатов. Для этого обычно достаточно переслать подписанное сообщение в адрес требуемого абонента (сообщение посылается вместе с сертификатом отправителя).

Для контроля добавления выполните следующие действия. Откройте полученное подписанное письмо. Установите курсор на адрес отправителя и, нажав правую кнопку мыши, выберите пункт Add to Outlook Contacts (Добавить в контакты Outlook).

После этого нажмите Save & Close(Сохранить и закрыть). Если абонент с таким адресом уже существует, программа предложит, либо добавить новый контакт (Add new Contact), либо обновить сведения о выделенном контакте (Update information of selected Contact).

Шифрование почты на мобильных устройствах android

1. Отправляем полученные сертификаты (файл ключа .pfx и файл сертификата корневого Центра Сертификации .cer) на электронную почту, установленную на телефоне, или переносим их в любую папку (в т.ч можно в коневой каталог) посредством usb-соединения с компьютером.

Шифрование почты на мобильных устройствах ios

Проверка сертификата на отзыв

Периодичность издания списков отозванных сертификатов (СОС) определяется Удостоверяющим центром. Центр Сертификации издает СОС и публикует его в сетевом справочнике (при его наличии).

Пользователи должны регулярно обновлять СОС, хранящийся в локальном справочнике сертификатов, с использованием доступных средств.

Для контроля проверки сертификатов на отзыв выполните следующие действия.

Откройте полученное подписанное письмо. Нажмите кнопку — признак подписанного сообщения. Как уже было отмечено раннее, для автоматической проверки подписи на отзыв необходимо установить флаг Проверять, не были ли отозваны сертификаты:

только при нахождении в сети. В противном случае, в открывшемся диалоге в закладке Безопасность увидите следующее:

При установленном флаге проверки, если сертификат не отозван, в графе Состояние отзыва получите Сертификат не был отозван, или не удалось получить информацию об отзыве этого сертификата.

Если же сертификат отозвали, то при открытии письма появится предупреждение:

А при нажатии кнопки, в открывшемся окне во вкладке Безопасность будет значиться: Этот сертификат был отозван.

SSL сертификат для почтового сервера | IT Блог