Защита данных
Импорт и экспорт сертификатов Интернета для использования в браузерах
Вновь полученные сертификаты Интернета можно использовать только в браузере, из которого они были запрошены. Однако экспорт сертификатов из браузера и их импорт в учетную запись позволяют задействовать их также в браузере Notes и при работе с почтой в стандарте S/MIME. Аналогичным образом, сертификаты можно экспортировать из учетной записи для применения в других, отличных от Notes, браузерах. Процесс экспорта и импорта сертификатов иногда полезен и при работе с другими приложениями, например Microsoft Outlook.
Чтобы импортировать сертификат Интернета в учетную запись
Если в браузере, например в Netscape, сохранен сертификат Интернета и его требуется использовать в браузере Notes, этот сертификат следует импортировать в учетную запись.
Импорт недействительных сертификатов Интернета и незавершенных цепочек сертификатов не допускается.
- Экспортируйте сертификат Интернета из браузера и сохраните в каталоге, откуда его потом нетрудно будет взять. Если есть возможность выбрать формат экспорта, укажите формат PKCS 12, включающий личные ключи Интернета и все вспомогательные сертификаты Интернета из цепочки. Если состав экспортированных объектов не входит личный ключ Интернета, импортировать сертификаты в учетную запись не удастся.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- В правой части диалогового окна выберите команду: Получить сертификаты - Импорт сертификатов Интернета.
- Выберите файл, содержащий экспортированный из браузера сертификат Интернета, в появившемся диалоговом окне и нажмите кнопку "Открыть".
- При необходимости выберите формат импортируемого сертификата Интернета, а затем нажмите кнопку "Продолжить". По умолчанию формат выбирается в Notes автоматически.
- Если для файла указан пароль, введите его.
- Чтобы принять импортируемый сертификат, нажмите кнопку "Принять все" в окне "Импорт сертификатов Интернета".
- Чтобы проверить, что все сертификаты Интернета импортированы в учетную запись, выберите команду: Файл - Безопасность - Безопасность пользователя, откройте вкладку "Идентификация", а затем - вкладку "Сертификаты", и выберите в раскрывающемся списке тип "Ваши сертификаты Интернета".
- (Рекомендуется.) Завершив импорт сертификатов Интернета, создайте архивную копию учетной записи (это не относится к роуминг-пользователям, которым архивные копии учетных записей не нужны).
Чтобы экспортировать сертификат Интернета из учетной записи
Если уже имеющийся в учетной записи Notes сертификат Интернета необходимо использовать в другом браузере, например в Netscape, сертификат следует экспортировать из учетной записи.
Допускается одновременный экспорт только одного сертификата. Выбранный сертификат Интернета экспортируется вместе с со всей цепочкой.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- Укажите экспортируемый сертификат Интернета, выбрав в раскрывающемся списке значение "Ваши сертификаты Интернета".
- В правой части диалогового окна выберите команду: Дополнительные действия - Экспорт сертификата.
- Выберите формат сертификата для экспорта, а затем нажмите кнопку "Продолжить". По умолчанию используется формат PKCS 12, который обычно совместим с большинством браузеров.
- Если выбран формат экспорта PKCS 12, в поле "Предлагаемое имя" рекомендуется ввести (или исправить) описательное имя сертификата. Это имя позволит в дальнейшем отличать сохраненные в браузере сертификаты друг от друга. Именно оно будет во всех случаях использоваться браузером для данного сертификата.
- Чтобы при экспорте в формате PKCS 12 экспортировать не только сертификат Интернета, но и соответствующий ему личный ключ, в окне "Параметры экспорта" установите флажок "Экспорт личного ключа, соответствующего данному сертификату" и нажмите кнопку "Продолжить". Если личный ключ не экспортируется, сертификат будет непригоден для выполнения многих функций по обеспечению безопасности.
- При выборе формата PKCS 12 в диалоговом окне "Пароль для экспорта сертификатов Интернета" введите пароль для экспортируемого файла и подтвердите его, а затем нажмите кнопку "Продолжить". Если пароль для файла экспорта не требуется, выберите режим "Без пароля".
- Укажите каталог и имя файла для экспорта в появившемся диалоговом окне и нажмите кнопку "Сохранить".
Удаление сертификатов
Из учетной записи можно удалить и простые сертификаты, и сертификаты Интернета. При этом, однако, Notes сохраняет соответствующие ключи, которые необходимы для расшифровки данных, зашифрованных с помощью удаленных сертификатов. Чтобы просмотреть ключи удаленных сертификатов, выполните шаги 1 и 2 (см. ниже), а затем в раскрывающемся списке выберите значение "Все ключи".
Чтобы удалить сертификаты из учетной записи
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- В раскрывающемся списке выберите значение "Все сертификаты".
- Укажите удаляемый сертификат и в правой части диалогового окна выберите команду: Дополнительные действия - Удалить из учетной записи.
Как устанавливаются доверительные отношения для сертификата Notes или Интернета
Сертификаты Notes и Интернета используются в качестве удостоверений. Во многих случаях приходится решать вопрос о том, являются ли сертификаты, встреченные Notes, законными, т.е. можно ли им доверять. Наиболее удобный способ подтверждения доверия к сертификату состоит в объявлении доверия по отношению к агентству сертификации (АС) в целом, что позволит в дальнейшем доверять всем сертификатам, выданным этим АС. При первом получении учетной записи единственным полностью доверенным АС является только АС, выдавшее сертификаты Notes. Доверие по отношению к сертификатам других АС, в том числе не относящихся к числу доверенных, устанавливается только после явного указания на необходимость доверять сертификатам определенного АС или отдельным сертификатам этого АС.
Чтобы просмотреть сертификаты, для которых установлены доверительные отношения, или изменить эти отношения для конкретных сертификатов, выберите команду: Файл - Безопасность - Безопасность пользователя, откройте вкладку "Другие пользователи" и выберите "Люди, службы" или "Агентства". Дополнительные сведения о вкладке "Люди, службы", на которой присутствуют доверенные сертификаты отдельных пользователей и служб. Дополнительные сведения о вкладке "Агентства", на которой представлены доверенные сертификаты АС, см. в разделе Агентства сертификации и выданные ими сертификаты.
Помимо управления доверительными отношениями в диалоговом окне "Безопасность пользователя", решения о доверии иногда приходится принимать непосредственно в ходе работы. Ниже приведены примеры ситуаций, в которых может потребоваться создание перекрестного сертификата, устанавливающего доверительные отношения для сертификата Notes или Интернета. Создание перекрестного сертификата аналогично установлению доверительных отношений для сертификата в диалоговом окне "Безопасность пользователя".
Перекрестный сертификат Notes При попытке доступа к серверу Notes из домена Domino, в который вы не входите, могут быть обнаружены сертификаты Notes, не относящиеся к числу доверенных. В этом случае выдается запрос на создание перекрестного сертификата либо для сертификата сервера, либо для АС, выдавшего этот сертификат. Без перекрестного сертификата подключение к серверу будет невозможно из-за отсутствия доверия по отношению к сертификатам сервера. Создание перекрестного сертификата для сертификата сервера позволяет зарегистрировать доверие по отношению к сертификату и признать его законным. Создание же перекрестного сертификата для АС, выдавшего сертификат сервера, устанавливает доверительные отношения для любого сертификата, выданного этим АС.
Перекрестный сертификат Интернета При получении почты в стандарте S/MIME от лица, заверившего сообщение цифровой подписью, вместе с сообщением приходят сертификат отправителя и сертификат АС, выдавшего ему сертификат. Если Notes не доверяет этим сертификатам, выдается запрос на создание перекрестного сертификата либо для сертификата отправителя, либо для АС, которым этот сертификат выдан. Если не создать такой перекрестный сертификат, сообщение прочесть все равно удастся, однако запрос на создание перекрестного сертификата будет появляться при каждом его открытии из-за отсутствия доверительных отношений. Создание перекрестного сертификата для сертификата отправителя позволяет зарегистрировать доверие по отношению к сертификату и признать его законным. Создание же перекрестного сертификата для АС, выдавшего сертификат отправителя, устанавливает доверительные отношения для любого сертификата, выданного этим АС. Следует отметить, что создание перекрестного сертификата для АС никогда не делается по у молчанию, а пользоваться этим приемом следует с осторожностью, так как сертификат выдан за пределами домена Notes.
Поиск доверенных сертификатов Notes и Интернета
Все сертификаты, принадлежащие отдельному пользователю, можно найти в личной адресной книге или в справочнике Domino. Предположим, что необходимо отправить зашифрованное сообщение сослуживцу. Для этого Notes необходим сертификат этого человека. Если нет уверенности в том, что Notes найдет нужный сертификат, либо в том, что этот сертификат является доверенным, необходимо выполнить поиск всех принадлежащих данному сотруднику сертификатов.
Чтобы найти сертификат по имени пользователя
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Другие пользователи", а затем - вкладку "Люди, службы".
- Установите переключатель в положение "Искать имя в справочнике и в личной адресной книге", а затем выполните одно из следующих действий.
- Введите в поле "Адрес почты Интернета или имя Notes" имя нужного пользователя. Если введено имя группы, будут показаны сертификаты всех участников группы. Имя можно указать любым из перечисленных ниже способов.
Имя Описание Ivan Kuznetsov/ACME Имя пользователя Notes - Kuznetsov
- kuznetsov
Фамилия Ivan Имя (будут найдены все Иваны, присутствующие в справочнике Domino) ikuznetsov Краткое имя Notes CN=Ivan Kunzetsov/O=ACME Полное имя сертификата Notes Ivan_Kuznetsov@ACME.ru Адрес электронной почты Kuznetsov/O=ACME Полное имя сертификата Интернета Pisateli Имя группы Notes - Щелкните значок с изображением пользователя справа от поля "Адрес почты Интернета или имя Notes", выберите адресную книгу, в которой необходимо выполнить поиск, в списке "Выберите адресную книгу" и укажите в поле "Найти имена, начинающиеся с" фамилию пользователя.
- Нажмите кнопку "Искать имя". Появится список сертификатов, принадлежащих искомому пользователю. Если сертификат является доверенным (обычно это означает наличие соответствующего перекрестного сертификата в личной адресной книге), рядом с ним в столбце "Доверие" будет стоять галочка.
Чтобы найти сертификаты в личной адресной книге
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Другие пользователи", а затем - вкладку "Люди, службы".
- Выберите параметр "Показать все записи адресной книги". Появится список сертификатов для пользователей и служб, найденных в адресной книге. Если сертификат является доверенным (обычно это означает наличие соответствующего перекрестного сертификата в личной адресной книге), рядом с ним в столбце "Доверие" будет стоять галочка.
Чтобы получить у администратора заверенные сертификаты для использования по умолчанию
Существует возможность загрузить сразу все заверенные сертификаты из справочника Domino, однако это относится только к сертификатам, решение доверять которым принято администратором. В личной адресной книге решение доверять сертификатам из справочника реализуется путем создания перекрестных сертификатов.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Другие пользователи", а затем - вкладку "Люди, службы".
- Установите переключатель в положение "Дополнительные сведения о пользователе/службе".
- Нажмите кнопку "Загрузить стандартные административные параметры доверия".
Чтобы найти заверенные сертификаты в других адресных книгах
Если Notes не находит необходимых сертификатов, можно просмотреть другие адресные книги.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Другие пользователи", а затем - вкладку "Люди, службы".
- Установите переключатель в положение "Дополнительные сведения о пользователе/службе".
- Щелкните значок с изображением пользователя в верхней части окна.