Podpisywanie wiadomości e-mail wysyłanych z ITS za pomocą S/MIME

Z Baza Wiedzy cybo.pl

Aplikacja ITS umożliwia elektroniczne podpisywanie wysyłanych z niej wiadomości e-mail zgodnie ze standardem S/MIME.

Funkcja podpisywania wiadomości za pomocą S/MIME wymaga wgrania do aplikacji ITS m.in. klucza prywatnego do certyfikatu podpisującego wraz z hasłem do tego klucza i umożliwia pobranie kopii wgranego pliku z kluczem prywatnym przez każdego użytkownika, który posiada uprawnienie administratora tego serwisu cybo.pl. Ponadto każdy użytkownik posiadający uprawnienie do wysyłania wiadomości e-mail z danej kolejki zgłoszeń ITS będzie mógł podpisywać zgodnie z S/MIME wysyłane przez siebie wiadomości z tej kolejki za pomocą dowolnego z certyfikatów skonfigurowanych w aplikacji ITS, który jest zgodny z adresem nadawcy e-mail stosowanym w tej kolejce.
W przypadku jeśli podpisywanie danym certyfikatem S/MIME ma być dostępne jedynie dla wiadomości wysyłanych z danej kolejki, wtedy jedynie ta kolejka powinna mieć ustawiony adres nadawcy zgodny z adresem e-mail w tym certyfikacie S/MIME.

Włączenie możliwości podpisywania

Konfiguracja roboczego sposobu komunikacji do operatora usługi cybo.pl w aplikacji ITS

W celu umożliwienia podpisywania za pomocą S/MIME wiadomości wychodzących z kolejek ITS, które stosują dany adres nadawcy e-mail, administrator serwisu cybo.pl powinien:

  • pozyskać:
    • certyfikat w formacie PEM do podpisywania S/MIME dla tego adresu e-mail,
    • klucz prywatny w formacie PEM do tego certyfikatu wraz z hasłem do odszyfrowania tego klucza jeśli jest on zaszyfrowany (zalecane),
    • certyfikaty w formacie PEM pośrednich ośrodków certyfikacji (ang. Intermediate CA) i głównego ośrodka certyfikacji (ang. Root CA), które wchodzą w skład łańcucha zaufania certyfikatu do podpisywania S/MIME,
  • w aplikacji ITS w funkcji Administracja > Certyfikaty S/MIME:
    • za pomocą Dodaj certyfikat załadować z pliku w formacie PEM certyfikat (bez klucza prywatnego) do podpisywania S/MIME,
    • za pomocą Dodaj klucz prywatny załadować z pliku w formacie PEM klucz prywatny do tego certyfikatu z podaniem w polu Hasło hasła do odszyfrowania tego klucza (jeśli klucz prywatny w pliku nie jest zaszyfrowany hasłem /niezalecane/ to w wymaganym przez aplikację polu Hasło należy podać jakąkolwiek niepustą wartość np. 12345),
    • za pomocą Dodaj certyfikat załadować kolejno z plików w formacie PEM te z przygotowanych certyfikatów ośrodków certyfikacji (pośrednich i głównego), które nie są jeszcze obecne na liście certyfikatów,
    • kliknąć ikonę przy dodanym kluczu prywatnym (ikona ta po najechaniu myszką wyświetla podpowiedź Obsługuj powiązane certyfikaty) a następnie kliknąć ikonę ze znakiem + przy certyfikatach pośrednich ośrodków certyfikacji używanych przez dodany certyfikat do podpisów S/MIME (co spowoduje, że zostaną one dodane do podpisów S/MIME razem z certyfikatem do podpisów; jest to zwykle potrzebne do weryfikacji podpisu po stronie odbiorcy, który zazwyczaj ma skonfigurowane zaufanie wyłącznie do głównego ośrodka certyfikacji),
  • dla kolejek, które mają domyślnie podpisywać wiadomości wychodzące z nich za pomocą dodanego certyfikatu S/MIME, w definicjach tych kolejek w Administracja > Kolejki, w polu Domyślny klucz do podpisywania... wybrać ten certyfikat (pozostawienie tego pola pustego powoduje, że wiadomości wychodzące z tej kolejki nie będą domyślnie podpisywane ale użytkownik w edytorze danej wiadomości wychodzącej nadal będzie mógł ją podpisać poprzez włączenie podpisu S/MIME w polu Zabezpieczenie e-mail).
W przypadku gdy dodany certyfikat nie podpowiada się w polu Domyślny klucz do podpisywania... pomimo zgodności adresów e-mail a w opisie pola widnieje jeszcze stary adres e-mail, należy zapisać konfigurację kolejki bez zmian i ponownie ją otworzyć - powinien pojawić się wtedy nowy adres e-mail i możliwość wybrania dodanego certyfikatu.
  • w przypadku gdy to możliwe sprawdzić poprawność działania podpisywania za pomocą dodanego certyfikatu poprzez wysłanie do siebie testowej wiadomości e-mail z kolejki ITS podpisującej wysyłane wiadomości za pomocą tego certyfikatu.

Uwagi:

  • Ze względów bezpieczeństwa i z uwagi na sposób działania mechanizmu zarządzania certyfikatami S/MIME i ich kluczami w aplikacji ITS, każdy certyfikat powinien mieć swój osobny klucz prywatny.
  • Certyfikaty stosowane do podpisów S/MIME powinny być mieć nieprzekroczony okres ich ważności; przed wygaśnięciem ważności certyfikatów należy je zastąpić nowymi certyfikatami.
  • W przypadku wysyłania przez użytkownika wiadomości e-mail z kolejki, której adres e-mail nadawcy podsiada skonfigurowany certyfikat do podpisów S/MIME, edytor tej wiadomości pozwala za pomocą pola Zabezpieczenie e-mail ręcznie włączyć lub wyłączyć podpis S/MIME w tej wiadomości. Dodatkowo jeśli w aplikacji zainstalowany został więcej niż jeden certyfikat do podpisów S/MIME zgodny z adresem e-mail nadawcy stosowanym w tej kolejce, wtedy w polu Podpis edytora możliwe jest wybranie certyfikatu, który ma być użyty przy podpisywaniu tej wiadomości.
  • W przypadku wysyłania autoodpowiedzi z kolejki, w której skonfigurowane zostało domyślne podpisywanie za pomocą S/MIME, jeśli adres nadawcy w konfiguracji autoodpowiedzi jest zgodny z adresem nadawcy w tej kolejce wtedy autoodpowiedź zostanie automatycznie podpisana zgodnie z S/MIME za pomocą domyślnie skonfigurowanego w tej kolejce podpisu.
  • Załadowanie certyfikatu głównego ośrodka certyfikacji do ITS jw. jest potrzebne do tego aby w podglądzie wysłanych, podpisanych wiadomości w samym ITS weryfikacja podpisu S/MIME kończyła się pomyślnie. ITS traktuje wszystkie załadowane za pomocą powyższej funkcji certyfikaty głównych ośrodków certyfikacji jako zaufane przy weryfikowaniu sygnatur S/MIME wszystkich wiadomości (nie tylko wysłanych ale również przychodzących z zewnątrz).

Zmiana certyfikatu

W celu zmiany certyfikatu służącego do podpisywania za pomocą S/MIME wiadomości wychodzących z kolejek ITS, które stosują dany adres nadawcy e-mail (np. w związku z wygasaniem ważności dotąd stosowanego certyfikatu), administrator serwisu cybo.pl powinien:

  • pozyskać, zainstalować i skonfigurować nowy certyfikat podpisujący S/MIME dla tego adresu e-mail wraz z jego kluczem prywatnym i certyfikatami ośrodków certyfikacji analogicznie jak przy włączeniu podpisywania,
  • wybrać nowy certyfikat zamiast starego w polu Domyślny klucz do podpisywania... w ustawieniach tych kolejek, w których jest ustawiony stary certyfikat,
  • w przypadku jeśli stary certyfikat nie będzie już używany do podpisywania (np. w innych kolejkach) wtedy w aplikacji ITS w funkcji Administracja > Certyfikaty S/MIME usunąć ten stary certyfikat poprzez kliknięcie ikony kosza przy nim (związany z tym certyfikatem klucz prywatny zostanie również usunięty).


Zobacz też:

Źródło: „https://kb.cybo.pl/w/index.php?title=Podpisywanie_wiadomości_e-mail_wysyłanych_z_ITS_za_pomocą_S/MIME&oldid=414