Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2013(UTC)
Сообщений: 5
|
Добрый день.
Стоит задача организовать защищенный обмен почтовыми сообщениями через MS Outlook 2010. В документации КриптоПРО, по настройки smime описаны следующие ограничения по публикации открытого ключа:
1. Криптопровайдер КриптоПро CSP не поддерживает работу KMS сервера Exchange и хранения сертификатов открытых ключей в глобальной адресной книге. Поэтому для создания сертификатов открытых ключей должен использоваться внешний центр сертификации.
2. Для хранения сертификатов открытых ключей абонентов используйте локальную или общую (корпоративную) папку Контакты.
В тоже время в ЦР КриптоПро и в самом Outlook существует возможность публикации сертификата в Active Directory и добавление его к учетной записи пользователя в качестве атрибута.
В связи с этим имеется ряд вопросов:
1. Существует ли возможность у КриптоПРО CSP использовать сертификат, опубликованный в AD, который является частью атрибута пользователя, при шифровании сообщений Outlook? Если такая возможность существует – просьба кратко прокомментировать требования настройки AD и Outlook.
2. В случае, если КриптоПро CSP не может использовать сертификаты опубликованные в Active Directory то:
• Каким оптимальным способом обеспечить обмен зашифрованными сообщениями через Ms Otlook 2010-2013 между 10000 пользователей.
• Зачем публиковать сертификаты в Active Directory?
Заранее благодарен за содействие.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
С большой вероятностью документация устарела и Outlook сможет брать сертификаты и глобальной адресной книги.
Про ЦР - сразу не отвечу, а как рекомендует делать MS? |
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Документация требует корректировки, спасибо.
Outlook умеет подтягивать сертификаты из AD, с самим КриптоПро CSP это не связано.
Если у Вас развернут наш ПАК КриптоПро УЦ - то экпорт сертификатов в AD есть, он подробно описан в инструкции ЖТЯИ.00067-02 90 05. КриптоПро УЦ. Центр Регистрации. Руководство по эксплуатации. 4.9. Настройка модуля экспорта сертификатов в Active Directory |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2013(UTC)
Сообщений: 5
|
Спасибо за оперативный ответ.
Тогда не понятна причина следующей проблемы:
Имеется рабочая станция под управлением ОС Windows 7, Outlook 2010, КриптоПРО CSP (Версия ядра СКЗИ 3.6.5364 КС, Версия продукта 3.6.7491) Выпущен сертификат на E-Token, сертификат, CRL, и корневой сертификат установлены в локальное хранилище, выполнена настройка smime в Outlook.
При публикации сертификата в глобальной адресной книге через Outlook (Центр управления безопасность - > Опубликовать сертификат в глобальном списке адресов) операция выполняется успешно, и сертификат появляется атрибутах учетной записи пользователя в AD на вкладке Published Certufucates.
При попытке отправить сообщение самому себе появляется ошибка: "Приложению Microsoft Outlook не удалось зашифровать сообщение, поскольку следующие получатели не имеют сертификатов, имеют недействительные сертификаты или не поддерживают данное шифрование."
При этом, если сохранить контакт в локальные контакты, зашифрованное сообщение отправляется без проблем.
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Создайте новое письмо, выберите контакт из глобальных контактов-по нему ПКМ-добавить - в свойствах создаваемого контакта зайдите в сертификаты - сколько там сертификатов, все ли они валидны,какой выставлен по умолчанию?
(добавлять контакт не нужно, это просто проверка)
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2013(UTC)
Сообщений: 5
|
Да, проделывал эту операцию - изначально было 2 сертификата. Затем удалил 1 сертификат их учетной записи в AD - соответственно остался только 1 ГОСТовый
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2013(UTC)
Сообщений: 5
|
Коллеги, удалось решить проблему.
Инструкция по решению (возможно некоторые шаги в конкретной ситуации можно опустить):
1)Необходимо убедиться, что установлен корневой сертификат УЦ, получателя зашифрованного сообщения и СОС.
2)Закрыть Outlook и Lynk, удалить содержимое папки C:\Users\User\AppData\Local\Microsoft\Outlook (как я понял Outlook кэширует учетную запись без сертификата).
3)В случае если выше описанные действия не помогли: Загрузить GAL -> Отправка и получение -Группы отправки и получения -> Загрузить адресную книгу
4)Перейти в Адресную книгу - > Сервис –> Параметры и убедиться что установлена галочка Начинать с глобального списка адресов и при открытии адресной книги первым отображать глобальный список адресов.
Если есть какие-либо замечания/дополнения просьба исправить/дополнить.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
