id: Гость   вход   регистрация
текущее время 12:11 23/11/2017
создать
просмотр
редакции
ссылки

Создание удостоверяющих сертификатов для электронной почты

Оригинал статьи размещён на внутреннем сайта интернет-
провайдера "МИПТ-телеком" [МФТИ] telecom.mipt.ru


Оглавление документа:

Для чего нужен персональный сертификат?


Необходимость в персональном сертификате обычно возникает в случае, если вы хотите, чтобы кто-нибудь прислал вам конфиденциальную информацию по электронной почте или, наоборот, сами хотите отправить такую информацию. Самый простой пример: вы забыли свой пароль для доступа к сети и хотите, чтобы вам его сообщили по электронной почте.


Как мы (получатель вашего почтового сообщения) можем быть уверены, что это письмо написали именно вы, а не злоумышленник, подменивший адрес отправителя? Только если письмо подписано вашим персональным цифровым сертификатом (при условии его надлежащего хранения вами и использования пароля для доступа к нему, конечно). Как мы можем безопасно переслать вам необходимый пароль? Только зашифровав своё сообщение вашим ключом. В этом случае только вы сможете его прочитать (при надлежащих правилах хранения, опять-таки).


Таким образом и обеспечивается защищённый и достоверный обмен информацией. Конечно, систем шифрования сообщений и их подписи существует довольно много. Все они имеют свои достоинства и недостатки. Чем же хорош именно цифровой сертификат X.509 от Thawte?


Цифровой сертификат Thawte хорош простотой получения и уже встроенными в операционную систему и распространённое ПО средствами его использования. Т.е. для того, чтобы начать использовать защищённые и достоверные способы обмена сообщениями вам не нужно будет устанавливать какое-либо дополнительное программное обеспечение на свой компьютер. Такие популярные программные продукты, как Microsoft Outlook, Microsoft Outlook Express, Mozilla Thunderbird, Mozilla SeaMonkey и многие другие уже могут использовать цифровые серитфикаты. К тому же, используя сертификаты Thawte вы не будете получать сообщений, предупреждающих о ненадёжности этих сертификатов, как это может происходить при использовании сертификатов от других удостоверяющих центров и, тем более, самоподписанных сертификатов.

Как получить персональный сертификат?


Получение персонального сертификата состоит из четырёх основных шагов: регистрации на севере, получения первичного (анонимного) сертификата, подтверждения своей личности и получения окончательного персонального цифрового сертификата. Прохождение этих шагов займёт время порядка получаса. Приготовьтесь.


Для создания собственного сертификата пройдите по адресу https://www.thawte.com/secure-.....tificates/index.html и нажмите кнопку Join, расположенную справа вверху. Должно появится всплывающее окно в котором для начала нужно согласится с условиями использования сертификатов Thawte нажав кнопку Next.


На следующей странице нужно ввести идентифицирующую вас информацию, а именно:



Вводите информацию внимательно и точно, т.к. в дальнейшем изменить её будет уже невозможно.

 (10 Кб)

На следующей странице введите ваш адрес электронной почты, который будет одновременно и вашим логином на сервере Thawte. В дальнейшем, если у вас появится новый адрес электронной почты, то вам не нужно будет заново регистрироваться на сервере, вы сможете легко добавить его к вашей учётной записи. (7 Кб)

Затем нужно выбрать предпочтительный для вас язык и кодировку. Рекомендуется выбирать русский язык (Russian) и кодировку UTF-8. Не смотрите на то, что в выпадающем списке есть кириллическая кодировка Cyrillic ISO-8000-1 — она мало где используется и имеет очень ограниченную поддержку. (6 Кб)

Далее, необходимо задать пароль, по которому вы будете получать доступ к своей учётной записи на сервере Thawte. Там вы сможете изменять некоторую информацию о себе, генерировать новые цифровые сертификаты, загружать и удалять ранее созданные. Сохранность этого пароля крайне важна, т.к. любой, кто сможет открыть учётную запись, сможет скомпрометировать ваши цифровые сертификаты. Поэтому использовать в качестве пароля своё имя, дату рождения и другую легко подбираемую информацию крайне не рекомендуется. Лучше всего использовать какой-нибудь генератор паролей. Например, есть общедоступный онлайн-генератор на сайте http://www.pctools.com/guides/password/. Или же можно использовать бесплатную и очень хорошую программу для хранения и генерации паролей с сайта http://www.pascom.ru/. (На случай, если вы придумаете настолько сложный пароль, что сами его забудете, предназначена следующая страничка.) (5 Кб)

На этой странице надо указать не меньше пяти вопросов и ответов, на которые вы, и только вы, знаете ответы, причём такие, которые точно не забудете. Если вы потеряете свой пароль от учётной записи, то процедура восстановления его будет выглядеть следующим образом: вам зададут эти вопросы и только в случае полного совпадения всех ответов на вопросы (даже с учётом регистра букв) вы получите новый пароль. Поэтому отнеситесь к этому списку внимательно и для избежания недоразумений с обработкой кодировок как в браузере, так и базе данных Thawte, все вопросы и ответы пишите латинскими буквами. Например, можно использовать такие вопросы:



...и другие подобные вопросы, ответы на которые будут содержать желательно только цифры или ещё и латинские буквы. Транслитерацию использовать не желательно, т.к. вы можете забыть какими именно буквами вы написали Й, Ш, Щ, Я и пр., а так же в каком регистре. Лучше всего использовать номера, которые вы или всегда помните или при необходимости можете за конечное время вспомнить, посмотреть, восстановить. Ну, и понятное дело, что очень желательно, чтобы эти ответы знали или могли посмотреть только вы.

 (8 Кб)

На этой странице вам предоставляется возможность последний раз проверить правильность введённой информации, и, при необходимости её изменить, нажать кнопку Back. Также есть возможность распечатать эту информацию и положить в сейф. Если же у вас нет сейфа или вы не уверены в его абсолютной надёжности, то лучше этого не делать. После нажатия кнопки Next вы перейдёте к последнему шагу – проверке адреса электронной почты. (11 Кб)

Здесь вам сообщается, что дальнейшие инструкции были отправлены вам по указанному адресу электронной почты и вам остаётся только закрыть это окно и ждать прихода сообщения. (5 Кб)


Вам должно прийти сообщение примерно такого содержания:


According to our records you have just submitted a new email address
for verification by Thawte. By following these instructions you
will prove that you can read email sent to user@mail.mipt.ru.

Please point your browser at:


https://www.thawte.com/....ng.exe? Magic=Gj7NeLeHWx

You may be asked for a username and password. Your username is your
Thawte ID. Your password is the password you chose during the
enrollment process for Thawte personal certification.

Здесь сообщается, что сервер Thawte хочет проверить вашу возможность читать сообщения, посланные по указанному адресу электронной почты, и для подтверждения таковой вам надо перейти по указанной ссылке.


При попытке обращения по этой ссылке вы должны будете ввести логин и пароль, которые указали при регистрации. Логин совпадает с вашим адресом электронной почты, только должен вводиться исключительно заглавными буквами. Пароль нужно указывать тот, который вы выбирали при регистрации.


Если вы после этого попали на страницу своей учётной записи на сервере Thawte, поздравляем! Вы успешно завершили процедуру регистрации. Можете начинать пользоваться доверенными цифровыми сертификатами для передачи сообщений электронной почты!

Генерация персонального цифрового сертификата.


После того, как вы получили контрольное сообщение и зашли со своим логином и паролем по указанной в сообщении ссылке, вы попадаете на страницу своей учётной записи. Первое и необходимое действие, которое вам надо совершить — это создать анонимный сертификат. Почему анонимный? Потому, что в этом сертификате не будет указано ваше имя. Единственное, что он будет удостоверять, так это то, что сообщения электронной почты были действительно отправлены от обладателя указанного в сертификате адреса электронной почты. Для внесения в сертификат вашего имени и фамилии вам потребуется удостоверить свою личность. А пока потренируемся в получении и использовании сертификатов. Нажмём на кнопку Request для получения сертификата X.509. (4 Кб)

После нажатия на эту кнопку должно появится всплывающее окно с таким содержанием. В нём предлагается выбрать совместно с каким программным продуктом вы будете использовать новый сертификат. На качества самого сертификата выбранный тут пункт никак не повлияет и в дальнейшем его можно будет использовать и с другими программами, не нужно для каждого приложения генерировать свой собственный сертификат. Выбранный тут пункт повлияет только на процесс установки созданного сертификата на ваш компьютер. Дело в том, что Thawte не присылает сертификаты в виде файла, а запускает процесс их инсталляции прямо из браузера. Если же вы не хотите использовать ни один из перечисленных тут продуктов в дальнейшем, вам всё равно единожды его придётся использовать хотя бы для получения сертификата. Поэтому, если вы сейчас работаете с браузером Microsoft Internet Explorer, то выберите его. Если же браузер из семейства Mozilla, то выберите его. Если же какой-то другой, то временно переключитесь в один из вышеназванных. (4 Кб)

В следующем окне ничего не остаётся, как просто нажать на кнопку Next. (5 Кб)

Аналогично, и тут. (6 Кб)

В этом окне вам предлагается решить, хотите ли вы открывать свою учётную запись Thawte не по паролю, а по выданному вам сертификату. Т.е. вам не придётся вводить пароль, а сервер Thawte будет проверять, установлен ли в вашем браузере ваш личный сертификат. Конечно, если вы правильно пользуетесь сертификатом, то вам всё равно придётся вводить пароль для его расшифровки, но это один и часто используемый вами пароль, который запомнить будет проще, нежели специальный пароль для сайта.


Примечание: пользователи браузеров SeaMonkey (так теперь называется Mozilla Suite) и Mozilla Firefox могут воспользоваться возможностью единоразового ввода мастер-пароля при запуске программы, который сделает доступными все сохранённые зашифрованные пароли. Чтобы закрыть доступ к паролю сертификата и ко всем прочим сохранённым паролям, достаточно закрыть программу.

 (6 Кб)

На этом этапе настоятельно рекомендуется нажать на кнопку Accept, если вы не являетесь специалистом в цифровых сертификатах. В противном случае вам будет предложен большой список опций и возможностей, которые будут включены в сертификат, но выбирать их надо со знанием дела и с большой осторожностью, зная что каждая из них значит. Не любая возможная комбинация этих опций приведёт к созданию работоспособного сертификата, так же как и выбор всех возможных опций. Если уж вы нажали кнопку Configure, то лучше всего будет нажать на клавишу Backspace на клавиатуре для возврата на этот пункт и выбора кнопки Accept. (5 Кб)

Теперь выберите длину ключа. Этот пункт требуется в случае законодательных ограничений на допустимую стойкость криптографических ключей. В России подобных ограничений нет, поэтому разумно выбрать ключ предельной длины (в зависимости от используемого браузера и операционной системы, это может быть 2048 или 4096 бит). (6 Кб)

Окончательная проверка правильности всех указанных данных, после которой в них уже нельзя будет внести изменения. Если вся указанная информация верна и вы действительно хотите создать ключ, содержащий эти данные, то нажмите кнопку Finish. (10 Кб)

Эта страница, так же, как и в случае регистрации на сервере, сообщает, что дальнейшие инструкции будут направлены вам по электронной почте. Остаётся только закрыт это окно браузера и ждать прихода сообщения. (10 Кб)


Сначала к вам должно прийти сообщение с темой "Certificate Requested" от "Thawte Personal Cert System <email-certs@thawte.com>", которое начинается так:


Hi!
Thanks for requesting a certificate from us. We will issue
it as soon as possible and notify you by email when it is
done.

В нём вас благодарят за использование их сервиса и сообщают, что сертификат будет выслан позднее, как только он будет издан.


После того как процедура создания сертификата успешно завершена приходит сообщение с темой "Thawte Personal Cert Issued" от "Thawte Certificate Issuer <email-certs@thawte.com>", в котором сообщается примерно следующее:


Hello,

This is an automated message to let you know that we have just
issued your personal certificate. You can retrieve it at:


https://www.thawte.com/....serial=130751883302519549410

Сертификат выпущен, и вы можете его забрать по указанной ссылке. Ссылку эту надо открывать в том браузере, который был выбран на первом шаге процедуры запроса сертификата, иначе установить его не удастся. Конечно, для доступа к учётной записи придётся ввести ваш логин и пароль.

Подтверждение вашей личности (необязательный этап)


Теперь осталось только сделать так, чтобы вы могли внести своё имя в персональный цифровой сертификат. Для этого нужно открыть в параметрах учётной записи страницу редактирования личной информации: filehttps://www.thawte.com/cgi/per.....general/editinfo.exe. (13 Кб)

На этой странице нужно ввести номер своего паспорта без пробелов и других знаков, просто 10 цифр подряд. На следующей строчке указать название дополнительного документа, который собираетесь предъявить при процедуре удостоверения вашей личности, например, это могут быть водительские права (driver's license) или другой документ государственного образца с фотографией. И, наконец, введя день, месяц и год своего рождения, нажать кнопку Update.


Теперь осталось выбрать из списка уполномоченных Thawte лиц тех, кто находится ближе к вам, и связаться с ними для уточнения времени и места встречи, чтобы они могли просмотреть ваши документы, сделать ксерокопии их заглавных страниц и выдать вам некоторое количество авторизационных баллов. По достижении 50 баллов вы сможете выпустить сертификат с указанным в нём вашим именем.


 
Много комментариев (14) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3