Создание удостоверяющих сертификатов для электронной почты
Оригинал статьи размещён на внутреннем сайта интернет-
провайдера "МИПТ-телеком" [МФТИ] telecom.mipt.ru
Для чего нужен персональный сертификат?
Необходимость в персональном сертификате обычно возникает в случае, если вы хотите, чтобы кто-нибудь прислал вам конфиденциальную информацию по электронной почте или, наоборот, сами хотите отправить такую информацию. Самый простой пример: вы забыли свой пароль для доступа к сети и хотите, чтобы вам его сообщили по электронной почте.
Как мы (получатель вашего почтового сообщения) можем быть уверены, что это письмо написали именно вы, а не злоумышленник, подменивший адрес отправителя? Только если письмо подписано вашим персональным цифровым сертификатом (при условии его надлежащего хранения вами и использования пароля для доступа к нему, конечно). Как мы можем безопасно переслать вам необходимый пароль? Только зашифровав своё сообщение вашим ключом. В этом случае только вы сможете его прочитать (при надлежащих правилах хранения, опять-таки).
Таким образом и обеспечивается защищённый и достоверный обмен информацией. Конечно, систем шифрования сообщений и их подписи существует довольно много. Все они имеют свои достоинства и недостатки. Чем же хорош именно цифровой сертификат X.509 от Thawte?
Цифровой сертификат Thawte хорош простотой получения и уже встроенными в операционную систему и распространённое ПО средствами его использования. Т.е. для того, чтобы начать использовать защищённые и достоверные способы обмена сообщениями вам не нужно будет устанавливать какое-либо дополнительное программное обеспечение на свой компьютер. Такие популярные программные продукты, как Microsoft Outlook, Microsoft Outlook Express, Mozilla Thunderbird, Mozilla SeaMonkey и многие другие уже могут использовать цифровые серитфикаты. К тому же, используя сертификаты Thawte вы не будете получать сообщений, предупреждающих о ненадёжности этих сертификатов, как это может происходить при использовании сертификатов от других удостоверяющих центров и, тем более, самоподписанных сертификатов.
Как получить персональный сертификат?
Получение персонального сертификата состоит из четырёх основных шагов: регистрации на севере, получения первичного (анонимного) сертификата, подтверждения своей личности и получения окончательного персонального цифрового сертификата. Прохождение этих шагов займёт время порядка получаса. Приготовьтесь.
Для создания собственного сертификата пройдите по адресу https://www.thawte.com/secure-.....tificates/index.html и нажмите кнопку Join, расположенную справа вверху. Должно появится всплывающее окно в котором для начала нужно согласится с условиями использования сертификатов Thawte нажав кнопку Next. На следующей странице нужно ввести идентифицирующую вас информацию, а именно:
Вводите информацию внимательно и точно, т.к. в дальнейшем изменить её будет уже невозможно. | |
На следующей странице введите ваш адрес электронной почты, который будет одновременно и вашим логином на сервере Thawte. В дальнейшем, если у вас появится новый адрес электронной почты, то вам не нужно будет заново регистрироваться на сервере, вы сможете легко добавить его к вашей учётной записи. | |
Затем нужно выбрать предпочтительный для вас язык и кодировку. Рекомендуется выбирать русский язык (Russian) и кодировку UTF-8. Не смотрите на то, что в выпадающем списке есть кириллическая кодировка Cyrillic ISO-8000-1 — она мало где используется и имеет очень ограниченную поддержку. | |
Далее, необходимо задать пароль, по которому вы будете получать доступ к своей учётной записи на сервере Thawte. Там вы сможете изменять некоторую информацию о себе, генерировать новые цифровые сертификаты, загружать и удалять ранее созданные. Сохранность этого пароля крайне важна, т.к. любой, кто сможет открыть учётную запись, сможет скомпрометировать ваши цифровые сертификаты. Поэтому использовать в качестве пароля своё имя, дату рождения и другую легко подбираемую информацию крайне не рекомендуется. Лучше всего использовать какой-нибудь генератор паролей. Например, есть общедоступный онлайн-генератор на сайте http://www.pctools.com/guides/password/. Или же можно использовать бесплатную и очень хорошую программу для хранения и генерации паролей с сайта http://www.pascom.ru/. (На случай, если вы придумаете настолько сложный пароль, что сами его забудете, предназначена следующая страничка.) | |
На этой странице надо указать не меньше пяти вопросов и ответов, на которые вы, и только вы, знаете ответы, причём такие, которые точно не забудете. Если вы потеряете свой пароль от учётной записи, то процедура восстановления его будет выглядеть следующим образом: вам зададут эти вопросы и только в случае полного совпадения всех ответов на вопросы (даже с учётом регистра букв) вы получите новый пароль. Поэтому отнеситесь к этому списку внимательно и для избежания недоразумений с обработкой кодировок как в браузере, так и базе данных Thawte, все вопросы и ответы пишите латинскими буквами. Например, можно использовать такие вопросы:
...и другие подобные вопросы, ответы на которые будут содержать желательно только цифры или ещё и латинские буквы. Транслитерацию использовать не желательно, т.к. вы можете забыть какими именно буквами вы написали Й, Ш, Щ, Я и пр., а так же в каком регистре. Лучше всего использовать номера, которые вы или всегда помните или при необходимости можете за конечное время вспомнить, посмотреть, восстановить. Ну, и понятное дело, что очень желательно, чтобы эти ответы знали или могли посмотреть только вы. | |
На этой странице вам предоставляется возможность последний раз проверить правильность введённой информации, и, при необходимости её изменить, нажать кнопку Back. Также есть возможность распечатать эту информацию и положить в сейф. Если же у вас нет сейфа или вы не уверены в его абсолютной надёжности, то лучше этого не делать. После нажатия кнопки Next вы перейдёте к последнему шагу – проверке адреса электронной почты. | |
Здесь вам сообщается, что дальнейшие инструкции были отправлены вам по указанному адресу электронной почты и вам остаётся только закрыть это окно и ждать прихода сообщения. | |
Вам должно прийти сообщение примерно такого содержания:
According to our records you have just submitted a new email address
for verification by Thawte. By following these instructions you
will prove that you can read email sent to user@mail.mipt.ru.Please point your browser at:
https://www.thawte.com/....ng.exe? Magic=Gj7NeLeHWx
You may be asked for a username and password. Your username is your
Thawte ID. Your password is the password you chose during the
enrollment process for Thawte personal certification.
Здесь сообщается, что сервер Thawte хочет проверить вашу возможность читать сообщения, посланные по указанному адресу электронной почты, и для подтверждения таковой вам надо перейти по указанной ссылке.
При попытке обращения по этой ссылке вы должны будете ввести логин и пароль, которые указали при регистрации. Логин совпадает с вашим адресом электронной почты, только должен вводиться исключительно заглавными буквами. Пароль нужно указывать тот, который вы выбирали при регистрации.
Если вы после этого попали на страницу своей учётной записи на сервере Thawte, поздравляем! Вы успешно завершили процедуру регистрации. Можете начинать пользоваться доверенными цифровыми сертификатами для передачи сообщений электронной почты!
Генерация персонального цифрового сертификата.
Сначала к вам должно прийти сообщение с темой "Certificate Requested" от "Thawte Personal Cert System <email-certs@thawte.com>", которое начинается так:
Hi!
Thanks for requesting a certificate from us. We will issue
it as soon as possible and notify you by email when it is
done.
В нём вас благодарят за использование их сервиса и сообщают, что сертификат будет выслан позднее, как только он будет издан.
После того как процедура создания сертификата успешно завершена приходит сообщение с темой "Thawte Personal Cert Issued" от "Thawte Certificate Issuer <email-certs@thawte.com>", в котором сообщается примерно следующее:
Hello,This is an automated message to let you know that we have just
issued your personal certificate. You can retrieve it at:
https://www.thawte.com/....serial=130751883302519549410
Сертификат выпущен, и вы можете его забрать по указанной ссылке. Ссылку эту надо открывать в том браузере, который был выбран на первом шаге процедуры запроса сертификата, иначе установить его не удастся. Конечно, для доступа к учётной записи придётся ввести ваш логин и пароль.
Подтверждение вашей личности (необязательный этап)
Теперь осталось только сделать так, чтобы вы могли внести своё имя в персональный цифровой сертификат. Для этого нужно открыть в параметрах учётной записи страницу редактирования личной информации: https://www.thawte.com/cgi/per.....general/editinfo.exe. |
На этой странице нужно ввести номер своего паспорта без пробелов и других знаков, просто 10 цифр подряд. На следующей строчке указать название дополнительного документа, который собираетесь предъявить при процедуре удостоверения вашей личности, например, это могут быть водительские права (driver's license) или другой документ государственного образца с фотографией. И, наконец, введя день, месяц и год своего рождения, нажать кнопку Update.
Теперь осталось выбрать из списка уполномоченных Thawte лиц тех, кто находится ближе к вам, и связаться с ними для уточнения времени и места встречи, чтобы они могли просмотреть ваши документы, сделать ксерокопии их заглавных страниц и выдать вам некоторое количество авторизационных баллов. По достижении 50 баллов вы сможете выпустить сертификат с указанным в нём вашим именем.