id: Гость   вход   регистрация
текущее время 23:54 28/03/2024
Владелец: Observer редакция от 17/04/2007 13:49 (автор: Observer) Печать
создать
просмотр
редакции
ссылки

Создание удостоверяющих сертификатов для электронной почты


cтатья с внутреннего сайта провайдера "МИПТ-телеком" [МФТИ] telecom.mipt.ru

Для чего нужен персональный сертификат?


Необходимость в персональном сертификате обычно возникает в случае, если вы хотите чтобы кто-нибудь вам прислал какую-нибудь конфиденциальную информацию по электронной почте или наоборот сами хотите переслать такую информацию. Самый простой пример: вы забыли свой пароль для доступа к сети и хотите, чтобы вам его сообщили по электронной почте.


Как мы (получатель вашего почтового сообщения) можем быть уверены, что это письмо написали именно вы, а не злоумышленнык, подменивший адрес отправителя? Только если письмо подписано вашим персональным цифровым серификатом мы можем быть в этом уверены (при условии его надлежащего хранения вами и использования пароля для доступа к нему, конечно).


Как мы можем безопасно переслать вам необходимый пароль? Только зашифровав своё сообщение вашим ключом. В этом случае только вы сможете его прочитать (при надлежащих правилах хранения, опять таки).


Таким образом и обеспечивается защищённый и достоверный обмен информацией. Конечно, систем шифрования сообщения и их подписи существует довольно много. Все они меют свои достоинства и недостатки. Чем же хорош именно цифровой сертификат Thawte?


Цифровой сертификат Thawte хорош своей лёгкой доступностью и уже встроенными в операционную систему средствами его использования. Т.е. для того, чтобы начать использовать защищённые и достоверные способы обмена сообщениями вам не нужно будет устанавливать какое-либо дополнительное программное обеспечение на свой копьютер. Такие популярные программные продукты как Microsoft Outlook, Microsoft Outlook Express, Mozilla Thunderbird, Mozilla SeaMonkey и много других уже могут использовать цифровые серитфикаты. К тому же используя сертификаты Thawte вы не будете получать сообщений предупреждающих о ненадёжности этих сертификатов, как это может происходить при использовании сертификатов от других центров сертификации и тем более самододписанных сертификатов.

Как получить персональный сертификат?


Получение персонального сертификата состоит из четырёх основных шагов: регистрация на севере, получение первичного сертификата, подтверждение своей личности и получение окончательного персонального цифрового сертификата. Прохождение этих шагов займёт время порядка получаса. Приготовьтесь.


Для создания собственного сертификата зайдите по адресу https://www.thawte.com/secure-.....tificates/index.html и нажмите кнопку "Join", расположенную справа вверху. Должно появится всплывающее окно в котором для начала нужно согласится с условиями использования сертификатов Thawte нажав кнопку "Next".
На следующей странице нужно ввести идентифицирующую вас информацию, а именно:
Charset For Text Input: UTF-8
Surname or Family Name: Ввести вашу фамилию
First Names or Given Names: Ввести ваше имя
Date Of Birth: Из выпадающих меню выбрать день, месяц и ввести год вашего рождения.
Nationality: Russian Federation
Вводите информацию внимательно и точно, т.к. в дальнейшем её изменить уже не будет возможности.
 (10 Кб)

 (7 Кб)На следующей странице введите ваш адрес электронной почты, который будет одновременни и вашим логином на сервер Thawte. В дальнейшем, если у вас появится новый адрес электронной почты, то вам не нужно будет заново регистрироваться на сервере, вы сможете добавить к вашей учётной записи дополнительные адреса электронной почты.

Затем нужно выбрать предпочтительный для вас язык и кодировку. Рекомендуется выбирать русский язык (Russian) и кодировку UTF-8. Не смотрите на то, что в выпадающем списке есть кириллическая кодировка Cyrillic ISO-8000-1. Для России она бесполезна. Реально она очень мало где используется и поддерживается. Лучше уж UTF-8. (6 Кб)

 (5 Кб)Дальше нужно выбрать пароль по которому вы будете заходить в личный кабинет на сервере Thawte. В этом личном кабинете вы сможете изменять некоторую информацию о себе, генерировать новые цифровые сертификаты, загружать и удалять ранее созданные. Сохранность этого пароля крайне важна, т.к. любой, кто сможет зайти в этот персональный кабинет сможет забрать ваши цифровые сертификаты. Поэтому использовать в качестве пароля своё имя, дату рождения и другую легко подбираемую информацию крайне не рекомендуется. Лучше всего использовать какой-нибудь генератор паролей. Например, есть общедоступный онлайн генератор на сайте http://www.pctools.com/guides/password/. Или же можно использовать бесплатную и очень хорошую программу для хранения и генерации паролей с сайта http://www.pascom.ru/. На всякий случай, если вы уж придумаете настолько сложный пароль, что сами его забудете, предназначена следующая страничка.

На этой странице надо указать не меньше пяти вопросов и ответов, на которые вы, и желательно только вы, знаете ответы, причём такие, которые точно не забудете. Если вы потеряете свой пароль от личного кабинета, то процедура восстановления его будет выглядеть следующим образом: вам зададут эти вопросы и только в случае полного совпадения всех ответов на вопросы (с учётом регистра букв даже) вы получите новый пароль. Поэтому отнеситесь к этому списку внимательно и для избежания недоразумений с обработкой кодировок как в браузере, так и базе данных thawte, все вопросы и ответы пишите латинскими буквами. Например можно использовать такие вопросы:

Kakoy moy nomer passporta? 1234567890
Kakoy moy nomer creditnoy kartu? 123456789012345
Telefon roditeley? 1234567
Registracionniy nomer mashinu? A123BC
Seriynuy nomer televizora N234214MB2423M
IMEA nomer sotovogo telefona 992344ASDFASDF23

...и другие подобные вопросы, ответы на которые будут содержать желательно только цифры или ещё и латинские буквы. Транслитерацию использовать не желательно, т.к. вы можете забыть какими именно буквами вы написали Й,Ш,Щ,Я и т.д. А так же в каком регистре. Лучше всего использовать номера, которые вы или всегда помните или при необходимости можете за конечное время вспомнить, посмотреть, восстановить. Ну, и понятное дело, что очень желательно, чтобы эти ответы знали или могли посмотреть только вы.

 (8 Кб)

 (11 Кб)На этой странице вам предоставляется последний раз проверить правильность введённой информации и в случае желания её изменить нажать кнопку "Back". Так же есть возможность распечатать эту информацию и положить в сейф. Если же у вас нет сейфа или вы не уверены в его абсолютной надёжности, то лучше этого не делать. После нажатия кнопки "Next" вы перейдёте к последнему шагу – проверке адреса электронной почты.

Здесь вам сообщается, что дальнейшие инструкции были отправлены вам по указанному адресу электронной почты и вам остаётся только закрыть это окно и ждать прихода сообщения. (5 Кб)


Вам должно придти сообщение с примерно таким содержанием:


According to our records you have just submitted a new email address
for verification by Thawte. By following these instructions you
will prove that you can read email sent to user@mail.mipt.ru.

Please point your browser at:



You may be asked for a username and password. Your username is your
Thawte ID. Your password is the password you chose during the
enrollment process for Thawte personal certification.

Здесь сообщается, что сервер Thawte хочет проверить вашу возможность читать сообщения посланные по указанному адресу электронной почты и для подтверждения таковой вам надо перейти по указанной ссылке.


При попытке обращения по этой ссылке вы должны будете ввести логин и пароль, который вы указали при регистрации. Логин совпадает с вашим адресом электронной почты, только должен писаться исключительно заглавными буквами. Пароль нужно указывать тот, который вы выбирали при регистрации.


Если вы после этого зашли в свой личный кабинет на сервере thawte, то поздравляем! вы успешно завершили процедуру регистрации и теперь вам её больше никогда повторять не потребуется. Вы можете начинать пользоваться доверенными цифровыми сертификатами для передачи сообщений электронной почты!

Генерация персонального цифрового сертификата.


После того, как вы получили контрольное сообщение и зашли со своим логином и паролем по указанной в сообщении ссылке вы попадаете в свой личный кабинет на сервер thawte. Первое и необходимое действие, которое вам надо совершить это – создать временный сертификат. Почему временный? Потому, что в этом сертификате не будет записано вашего имени. Единственное, что он будет удостоверять, так это то что сообщения электронной почты были действительно отправлены от обладателя указанного в сертификате адреса электронной почты. Для вписания в сертификат вашего имени и фамилии вам придётся удостоверить свою личность. А пока потренируемся в получении и использовании сертификатов. Нажмём на кнопку "Request" для получения сертификата стандарта X.590. (4 Кб)

 (4 Кб)После нажатия на эту кнопку должно появится всплывающее окно с таким содержанием. В нём предлагается выбрать совместно с каким программным продуктом вы будете использовать получившийся сертификат. На качества самого сертификата выбранный тут пункт никак не влияет и в дальнейшем его можно будет ипользовать и с другими программами. Не надо для каждого приложения генерировать свой собственный сертификат. Выбранный тут пункт повлияет только на процесс установки созданного сертификата на ваш копьютер. Дело в том, что thawte не присылает сертификаты в явном виде, а запускает процесс их инсталляции прямо из браузера. Если же вы не хотите использовать ни один из перечисленных тут продуктов в дальнейшем, вам всё равно единожды его придётся использовать хотя бы для получения сертификата. Поэтому, если вы сейчас работаете с браузером Microsoft Internet Explorer, то выберите его. Если же браузер из семейства Mozillf, то выберите его. Если же какой-то другой, то временно переключитесь в один из вышеназванных.

В следующем окне ничего не остаётся как просто нажать на кнопку "Next". (5 Кб)

 (6 Кб)Аналогично и тут.

В этом окне вам предлагается согласится с тем, чтобы вы могли заходить в свой личный кабинет на сервере thawte не по паролю, а по выданному вам сертификату. Т.е. вам не придётся вводить пароль, а сервер thawte будет проверять установлен ли в вашем браузере ваш личный сертификат. Конечно, если вы правильно пользуетесь сертификатом, то вам всё равно придётся вводить пароль для расшифровки вашего сертификата, но это один и часто используемый вами пароль, который помнить, по идее, проще, чем специализированный для сайта.
Примечание: пользователи SeaMonkey (так теперь называется Mozilla) могут воспользоваться возможностью единственного ручного ввода Мастер-пароля при запуске SeaMonkey, который сделает доступным все сохранённые зашифрованные пароли. Т.е. вводить пароль для доступа к сертификату не потребуется – он будет подставлен SeaMonkey автоматически. Чтобы закрыть доступ к паролю сертификата и ко всем прочим сохранённым паролям, достаточно выйти из SeaMonkey.
 (6 Кб)

 (5 Кб)На этом этапе настоятельно рекомендуется нажать на кнопку "accept", если вы не являетесь специалистом в цифровых сертификатах. В противном случае вам будет предложен большой список опций и возможностей, которые будут включены в сертификат, но выбирать их надо со знанием дела и с большой остарожностью, зная что каждая из них значит. Не любая возможноая комбинация этих опций приведёт к созданию работоспособного сертификата, так же как и выбор всех возможных опций. Если уж вы нажали кнопку "configure", то лучше всего будет нажать на клавишу Backspace на клавиатуре для возрата на этот пункт и выбора кнопки "accept".

Теперь выберите силу ключа. Этот пункт нужен для законопослушных граждан стран где законодательно запрещено использовать ключи более стойкие, чем некоторая величина. Но, т.к. мы с вами находимся в Росии, где в настоящее время цифровые сертификаты thawte вообще не считаются цифровой подписью, поэтому, конечно, выбираем самый стойкий и надёжный ключ длиной 2048 байт. (6 Кб)

 (10 Кб)Окончательная проверка правильности всех указанных данных, после которой в них уже никак нельзя будет внести изменения. Если вся указанная информация верна и вы действительно хотите создать ключ содержащий эти данные, то нажмите кнопку "finish".

Эта страница, так же как и в случае регистрации на сервере сообщает, что дальнейшие инструкции будут направлены вам по электронной почте. Остаётся только закрыт это окно браузера и ждать прихода сообщения. (10 Кб)


Сначала к вам должно придти сообщение с темой "Certificate Requested" от "thawte Personal Cert System <email-certs@thawte.com>", которое начинается так:


Hi!
Thanks for requesting a certificate from us. We will issue
it as soon as possible and notify you by email when it is
done.

В нём вас благодарят за использование их сервиса и сообщается, что сертификат будет выслан позже, как только он будет создан.


После того как процедура создания сертификата успешно завершена приходит сообщение с темой "Thawte Personal Cert Issued" от "Thawte Certificate Issuer <email-certs@thawte.com>", в котором сообщается примерно следующее:


Hello,

This is an automated message to let you know that we have just
issued your personal certificate. You can retrieve it at:


https://www.thawte.com/cgi/per.....10903139947797219482

Т.е. говорится о том, что сертификат выпущен и вы можете его забрать по указанной ссылке. Ссылку эту надо открывать в том браузере, который был выбран на первом шаге процедуры запроса сертификата, иначе установить его на ваш копьютер не получится. Конечно придётся ввести ваш логин и пароль для доступа к личному кабинету на сервере thawte.

Подтверждение вашей личности (необязательная опция)


Теперь осталось только сделать так, чтобы вы могли вписать своё имя в персональный цифровой сертификат. Для этого вам нужно зайти в личный кабинет thawte на страницу редактирования личной информации: filehttps://www.thawte.com/cgi/per.....general/editinfo.exe.


 (13 Кб)


На этой странице нужно ввести номер своего паспорта без пробелов и других знаков, просто 10 цифр подряд. На следующей строчке написать название дополнительного документа, который вы собираетесь предъявить при процедуре удостверения вашей личности, например это могут быть водительские права (driver's license) или другой документ с фотографией, выданный государственными органами. И, наконец, введя день, месяц и год своего рождения нажать кнопку "update".


Теперь осталось выбрать из списка уполномоченных thawte людей тех, кто ближе к вам находится и связаться с ними для уточнения времени и места встречи для того чтобы они могли посмотреть ваши документы, сделать ксерокопии их заглавных страниц и выдать вам некоторое количество авторизационных пунктов. По достижении 50 пунктов вы сможете выпустить сертификат с написанным в нём вашим именем.