3. Подготовка к работе с ИОК ОАО «СЗТ

Открытое акционерное общество «Северо-Западный Телеком»
Коми филиал
УТВЕРЖДАЮ
Региональный директор — директор
филиала
_____________________ В.А. Козлов
«___» ____________ 200__ г.
ИНСТРУКЦИЯ
пользователя сертификатов открытых ключей,
выпущенных подчиненным удостоверяющим центром Коми филиала
открытого акционерного общества «Северо-Западный Телеком»
Согласовано:
Начальник управления безопасности
Коми филиала ОАО «СЗТ»
В.А. Тырин
«____» _____________ 200__ г.
Согласовано:
Начальник отдела информационной и
экономической безопасности Коми
филиала ОАО «СЗТ»
Л.Н. Савицкий
«____» _____________ 200__ г.
Сыктывкар
2008
2
Содержание
1.
ВВЕДЕНИЕ ......................................................................................................................................................... 2
2.
НАЗНАЧЕНИЕ И УСЛОВИЯ ПРИМЕНЕНИЯ ИОК ОАО «СЗТ» .......................................................... 3
2.1.
ОБЩАЯ ИНФОРМАЦИЯ О ИЗДАВАЕМЫХ СЕРТИФИКАТАХ В РАМКАХ ИОК ОАО «СЗТ» ............................. 3
2.1.1. Сертификаты, издаваемые ПУЦ CA SRV21 ...................................................................................... 3
2.2.
ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ РАБОЧЕГО МЕСТА .................................................................................... 3
3.
ПОДГОТОВКА К РАБОТЕ С ИОК ОАО «СЗТ» ......................................................................................... 4
3.1.
3.2.
3.3.
4.
ПОЛУЧЕНИЕ КЛЮЧЕВОГО НОСИТЕЛЯ ........................................................................................................... 4
ПОДГОТОВКА РАБОЧЕГО МЕСТА .................................................................................................................. 5
УСТАНОВКА СЕРТИФИКАТА ЗАЩИЩЕННОЙ ЭЛЕКТРОННОЙ ПОЧТЫ ............................................................ 5
ОПИСАНИЕ БАЗОВЫХ ОПЕРАЦИЙ, ВЫПОЛНЯЕМЫХ ПОЛЬЗОВАТЕЛЕМ ............................... 9
4.1.
4.2.
4.3.
4.4.
СМЕНА PIN-КОДОВ ...................................................................................................................................... 9
ИСПОЛЬЗОВАНИЕ СЕРТИФИКАТА, ОБЕСПЕЧИВАЮЩЕГО ВХОД В ДОМЕН................................................... 12
ИСПОЛЬЗОВАНИЕ СЕРТИФИКАТА, ОБЕСПЕЧИВАЮЩЕГО РАБОТУ ЗАЩИЩЕННОЙ ЭЛЕКТРОННОЙ ПОЧТЫ.. 12
УПРАВЛЕНИЕ ЖИЗНЕННЫМ ЦИКЛОМ СЕРТИФИКАТОВ ............................................................................... 18
5.
ДЕЙСТВИЯ ПОЛЬЗОВАТЕЛЕЙ В АВАРИЙНЫХ СИТУАЦИЯХ ...................................................... 19
6.
РЕКОМЕНДАЦИИ ПО ОСВОЕНИЮ ИОК ОАО «СЗТ» ........................................................................ 19
1. Введение
Инфраструктура открытых ключей открытого акционерного общества «Северо-Западный
Телеком» (далее ИОК ОАО «СЗТ») обеспечивает пользователям возможность защищенного
обмена электронной почтой в рамках ИОК ОАО «СЗТ», аутентификации в доменах филиалов и
при доступе к различным ресурсам ОАО «СЗТ» на основе сертификатов открытых ключей.
ИОК ОАО «СЗТ» позволяет службам администрирования организовать строгую
двухфакторную аутентификацию пользователей с использованием сертификатов X509 при
доступе к ресурсам доменам филиалов, что полностью либо частично заменяет аутентификацию
по паролю. При этом для пользователя необходимо знание PIN-кода и обладание ключевым
носителем (eToken), выполненным в виде брелка и подключаемым к персональному компьютеру
(далее — ПК) с использованием USB-интерфейса или смарт-карты и устройства для считывания
смарт-карт, подключаемых к персональному компьютеру. Одной из основных возможностей ИОК
ОАО «СЗТ» является обеспечение условий для придания юридической значимости электронным
документам на базе применения электронно-цифровой подписи (далее — ЭЦП) в том числе и при
обмене почтовыми сообщениями.
Подчиненный удостоверяющий центр CA SRV21 (далее — ПУЦ CA SRV21) является
частью иерархической структуры инфраструктуры открытых ключей (ИОК) открытого
акционерного общества «Северо-Западный Телеком» (ОАО «СЗТ»).
Перед использованием ИОК ОАО «СЗТ», пользователям Коми филиала (и представителям
сторонних организаций, действующих в рамках договорных отношений с филиалом) необходимо
ознакомиться с настоящим руководством и при необходимости обратиться за разъяснениями в
центр сертификации подчиненного удостоверяющего центра (ПУЦ) CA SRV21 Коми филиала.
Реквизиты ПУЦ CA SRV21 Коми филиала ОАО «СЗТ»

почтовый адрес: 167981, г. Сыктывкар, ул. Ленина, д. 60, тел. 29-98-05;

телефоны: (8212) 29-93-00, (8212) 29-98-42; факс: (8212) 29-93-00;

корреспонденция в адрес отдела информационной и экономической безопасности
Коми филиала ОАО «СЗТ»;

e-mail: casrv21@komitelecom.ru, i.belousov@komitelecom.ru;

график работы: рабочие дни с 8.30 до 17.30, перерыв с 12.30 до 13.30;

контактные лица: Белоусов Игорь Станиславович, Савицкий Леонид Николаевич.
3
2.
Назначение и условия применения ИОК ОАО «СЗТ»
2.1. Общая информация о издаваемых сертификатах в рамках ИОК ОАО «СЗТ»
В ИОК ОАО «СЗТ» используются следующие основные виды сертификатов:
 сертификаты, обеспечивающие работу защищенной электронной почты;
 сертификаты, обеспечивающие аутентификацию в домене;
 сертификаты, обеспечивающие аутентификацию при доступе к корпоративным
информационным ресурсам
 сертификаты, обеспечивающие аутентификацию при доступе к информационным
ресурсам филиала пользователям филиала.
Сертификаты, обеспечивающие работу защищенной электронной почты, предназначены
для придания юридической значимости электронным документам при обмене ими с
использованием электронной почты. Данный вид сертификатов издается УЦ второго уровня ОАО
«СЗТ» с применением алгоритмов ГОСТ Р 34.11/34.10-2001, 28147-89, что обеспечивает
целостность, конфиденциальность, подтверждение подлинности и неотрекаемости от авторства
информации при передаче ее по сетям связи и вычислительным сетям, а при выполнении
остальных требований закона об ЭЦП и юридическую значимость такой информации.
Сертификаты, обеспечивающие аутентификацию в домене и доступ к корпоративным
ресурсам, предназначены для подтверждения подлинности субъекта при доступе к
информационным ресурсам корпоративной информационно-вычислительной системы (далее —
КИВС) и замены аутентификации по паролю на строгую двухфакторную аутентификацию.
Сертификаты, обеспечивающие аутентификацию при доступе к информационным ресурсам
филиалов пользователями филиалов предназначены для подтверждения подлинности субъекта и
замены аутентификации по паролю на строгую двухфакторную аутентификацию при доступе к
информационным ресурсам, обрабатываемым автоматизированными системами филиалов.
2.1.1.
Сертификаты, издаваемые ПУЦ CA SRV21
ПУЦ CA SRV21 предназначен для издания и управления сертификатами открытого ключа
работников Коми филиала ОАО «СЗТ», а также представителей сторонних организаций,
действующих в рамках договорных отношений с Коми филиалом ОАО «СЗТ», а также дочерних и
зависимых от ОАО «СЗТ» обществ, предприятий и организаций.
ПУЦ CA SRV21 издает сертификаты открытого ключа только в соответствии со
следующими
политиками
сертификата,
установленными
«Политикой
сертификации
инфраструктуры открытых ключей ОАО «СЗТ»»:
1) Политика II и ее суб-политики (IIa и IIb), в соответствии с которой издаются
сертификаты открытого ключа, предназначенные для контроля целостности, обеспечения
конфиденциальности и подтверждения подлинности отправителя в системах электронного
документооборота ОАО «СЗТ»;
2) Политика III, в соответствии с которой издаются сертификаты открытого ключа,
предназначенные для построения VPN;
3) Политика V, в соответствии с которой издаются сертификаты открытого ключа для
тестирования работы создаваемых и/или модернизируемых информационных систем с выполнением
всех требований, установленных для них Политикой.
ПУЦ CA SRV21 не издает сертификаты, не соответствующие вышеперечисленным политикам.
ПУЦ CA SRV21 не издает сертификаты для подчиненных удостоверяющих центров, а также для
работников других филиалов ОАО «СЗТ».
2.2. Требования к оборудованию рабочего места
Работа ИОК ОАО «СЗТ», в части касающейся оборудования клиентских рабочих мест,
обеспечивается под управлением следующих операционных систем:
 MS Windows 2000 Professional;
 MS Windows XP;
4
Для наиболее комфортной работы рекомендуется использование MS Windows XP SP2 и MS
Outlook Express / 2003 с установленными обновлениями.
Для использования сертификатов, обеспечивающих аутентификацию в домене, требуется
установка программного обеспечения eToken RTE (версия не ниже 3.60.116), Athena IIIe reader
(версия не ниже 2.0.0.3).
Помимо этого, для использования сертификатов, обеспечивающих работу защищенной
электронной почты, требуется установка программного обеспечения КриптоПро CSP 3.0, и, в
случае использования в качестве ключевого носителя eToken, ПО eToken для КриптоПро и один
из следующих почтовых клиентов:
 Outlook Express 6;
 Microsoft Outlook 2003 (входит в пакет MS Office 2003);
В ходе работы с ИОК ОАО «СЗТ» пользователям Коми филиала должны быть доступны
следующие ресурсы:
 реестр сертификатов — общий файловый ресурс, который содержит реестр
сертификатов, обеспечивающих работу защищенной электронной почты, для всех пользователей
ИОК Коми филиала и для всех пользователей генеральной дирекции ОАО «СЗТ»;
 Web-служба репозитария — ресурс, который содержит регламентирующие документы
(«Положение об ИОК ОАО «СЗТ»», «Политику сертификации ИОК ОАО «СЗТ»», «Регламент
подчиненного удостоверяющего центра CA SRV21 Коми филиала ОАО «СЗТ»», «Регламент
корневого удостоверяющего центра открытого акционерного общества «Северо-Западный
Телеком»», образец заявления на выдачу/ приостановление/ аннулирование/ возобновление
сертификата, настоящую инструкцию и т.д.);
 http://casrv3.nwtelecom.ru/ — портал доступа к общедоступным компонентам;
 http://casrv4.nwtelecom.ru/ — портал ИОК ОАО «СЗТ»;
 http://casrv201/certenroll/ca_srv21.crt либо http://casrv4.nwtelecom.ru/certenroll/ca_srv21.crt —
сертификат центра сертификации подчиненного удостоверяющего центра, который выдает
сертификаты для защиты электронной почты;
 http://casrv201/certenroll/ca_srv21.crl либо http://casrv4.nwtelecom.ru/certenroll/ca_srv21.crl —
список отзыва сертификатов центра сертификации (ЦС) подчиненного удостоверяющего центра,
который выдает сертификаты для защиты электронной почты;
 у пользователя должны быть установлены корневой сертификат rootca.crt и сертификат
подчиненного центра сертификации ca_srv21.crt.
Пользователям из числа представителей сторонних организаций, действующих в рамках
договорных отношений с Коми филиалом, может быть доступна Web-служба репозитария,
содержащая регламентирующие документы («Положение об ИОК ОАО «СЗТ»», «Политику
сертификации ИОК ОАО «СЗТ»», «Регламент ПУЦ Коми филиала ОАО «СЗТ»», «Регламент
корневого УЦ ОАО «СЗТ»», образец заявления на выдачу/ приостановление/ аннулирование/
возобновление сертификата, настоящую инструкцию), списки отзыва сертификатов корневого и
промежуточного центра сертификации (ca_srv21.crl, rootca.crl), сертификат корневого ЦС
(rootca.crt), сертификат промежуточного ЦС ПУЦ (ca_srv21.crt), реестр выпущенных
сертификатов. У пользователя должны быть установлены корневой сертификат rootca.crt и
сертификат промежуточного центра сертификации ca_srv21.crt.
3.
Подготовка к работе с ИОК ОАО «СЗТ»
3.1. Получение ключевого носителя
Перед применением ИОК ОАО «СЗТ» пользователю Коми филиала необходимо получить
ключевой документ с содержащейся на нем ключевой парой и соответствующий сертификат
открытого ключа. Для этого необходимо:
1. распечатать и заполнить заявку на сертификата;
2. обратиться с заявкой в центр сертификации ПУЦ CA SRV21;
5
3. получить ключевой носитель с запрошенными сертификатами, при этом PIN-коды на
ключевой носитель и контейнер секретного ключа по умолчанию представляют собой
последовательности вида: 1234567890;
4. сменить PIN-код.
Пользователи из числа представителей сторонних организаций, действующие в рамках
договорных отношений с Коми филиалом, изготовление ключевой информации могут
осуществлять самостоятельно. При этом запрос на изготовление сертификата записывается в файл
и вместе с заявлением на изготовление сертификата передается в ПУЦ с помощью доверенного
канала связи (фельдъегерская почта или личное прибытие в ПУЦ):
1. распечатать и заполнить заявление на выдачу сертификата;
2. изготовить ключевой документ и обратиться с заявлением и файлом-запросом на
изготовление сертификата в службу администрирования и поддержки ИОК ОАО «СЗТ» Коми
филиала;
3. получить носитель с запрошенным сертификатом.
3.2. Подготовка рабочего места
Для выполнения требований к оборудованию рабочего места, перечисленных в подразделе
2.2 настоящего руководства, следует обратиться центр сертификации ПУЦ CA SRV21, либо, при
наличии соответствующих прав (а также в случае пользователей из числа представителей
сторонних организаций, действующих в рамках договорных отношений с Коми филиалом),
выполнить эти требования самостоятельно. Для установки необходимого программного
обеспечения можно воспользоваться соответствующими руководствами:
 Pуководство по установке eToken RTE;
 Pуководство по установке КриптоПро CSP 3.0.
3.3. Установка сертификата защищенной электронной почты
Перед использованием сертификата для защищенной электронной почты, необходимо
выполнить его установку на ПК пользователя.
Для проведения операции необходимо, чтобы выполнялись требования, перечисленные в
подразделе 2.2 настоящего руководства, и на ключевом носителе содержался сертификат,
обеспечивающий работу защищенной электронной почты.
Для установки сертификата, обеспечивающего работу защищенной электронной почты на
ПК пользователя необходимо (далее предполагается использование в качестве ключевого
носителя устройства eToken):
1. вставить ключевой носитель в USB-порт;
2. запустить Свойства: КриптоПро CSP с использованием Панели управления;
6
3. выбрав вкладку Оборудование и щелкнув мышью по кнопке Настроить
считыватели… убедиться, что установлены следующие считыватели AKS ifdh0 и AKS ifdh1.
Если считыватели не установлены выбрать Добавить…, Далее >, щелкнуть по кнопке
Установить с диска… , Далее >, с помощью кнопки Обзор… указать путь к файлу pcsc.msp и
следовать указаниям мастера установки;
4. на вкладке Оборудование щелкнуть мышью по кнопке Настроить носители...
убедиться, что установлен носитель eToken PRO32. В противном случае действовать как в
предыдущем пункте (указав путь к файлу eToken.msp).
5. выбрать вкладку Сервис и щелкнуть по кнопке Просмотреть сертификаты в
контейнере…;
6. ввести или указать, выбрав Обзор…, контейнер закрытого ключа для просмотра
сертификатов в этом контейнере;
7
7. выбрать необходимый контейнер и выбрать Ok;
8. выбрать Далее;
9. ввести PIN-код на контейнер секретного ключа и выбрать Ok;
10. выбрать Свойства;
8
11. выбрать Установить сертификат…;
12. следовать указаниям мастера установки сертификата, оставляя все запрашиваемые
параметры по умолчанию до появления сообщения;
9
4.
Описание базовых операций, выполняемых пользователем
4.1. Смена PIN-кодов
При получении нового ключевого носителя необходима смена стандартных PIN-кодов,
которые указаны в подразделе 2.3. После смены PIN-кодов на ключевой носитель и контейнер
секретного ключа их необходимо хранить в секрете, и в случае утери обратиться в службу
администрирования и технической поддержки Коми филиала ОАО «СЗТ».
4.1.1. Смена PIN-кода на ключевой носитель
Смена PIN-кода на ключевой носитель выполняется следующим образом:
1. вставить ключевой носитель в считыватель смарт-карт компьютера;
2. запустить программу e-Token Properties;
3. выбрать Сменить PIN-код… и ввести текущий и новый PIN-код, после чего выбрать
Ok (о сложности пароля говорит диаграмма справа, кнопка Ok станет активна, как только
сложность пароля составит 100%);
10
4. В случае положительного результата появится следующее сообщение;
4.1.2. Смена PIN-кода на контейнер секретного ключа
Сменить PIN-код на контейнер секретного ключа для сертификата, обеспечивающего
работу защищенной электронной почты, можно следующим образом:
1. запустить Свойства КриптоПро CSP с использованием Панели управления;
2. выбрать вкладку Сервис и выбрать Изменить пароль…;
11
3. ввести или указать, выбрав Обзор…, контейнер секретного ключа на котором
необходимо сменить PIN-код;
4. выбрать Ok;
5. выбрать Готово;
12
6. ввести текущий PIN-код на контейнер секретного ключа (стандартный PIN-код указан в
разделе 2) и выбрать Ok;
7. Ввести новый PIN-код и выбрать Ok;
При отсутствии сообщений операция смены PIN-кода на контейнер секретного ключа
прошла успешно.
4.2. Использование сертификата, обеспечивающего вход в домен
Ключевой носитель (eToken) может использоваться для аутентификации в домене. Один из
вариантов аутентификации — интерактивный вход в систему с применением Active Directory и
сертификата открытого ключа. То есть, обладая ключевым носителем, содержащим
соответствующий сертификат, вы можете выполнять аутентификацию в домене, эта процедура
заменяет вход с использованием пароля и производится следующим образом:
1.
в ходе загрузки операционной системы на запрос Вставьте вашу смарт-карту…
вставьте ключевой носитель в считыватель смарт-карт компьютера;
2.
после того как появится приглашение — введите PIN-код на ключевой носитель и
нажмите Enter;
3.
дождитесь загрузки личных параметров, после чего можно приступать к работе.
В случае если в ходе загрузки операционной системы приглашения на ввод PIN-кода не
последовало, убедитесь, что ключевой носитель уже не был вставлен в USB-порт ПК. Если это
так, изымите ключевой носитель и вставьте его повторно в USB-порт ПК. Если это не решило
проблему, воспользуйтесь для входа в домен своим паролем и сообщите об этом в службу
администрирования и поддержки ИОК.
4.3. Использование сертификата, обеспечивающего работу защищенной электронной
почты
Перед настройкой почтовых клиентов и использованием сертификата, обеспечивающего
работу защищенной электронной почты, его необходимо установить согласно методике,
приведенной в разделе 3.
4.3.1. Настройка и использование Outlook Express
Программное обеспечение Outlook Express версии 6.0 и выше поддерживает
Инфраструктуру Открытых Ключей. Для этих целей Outlook Express использует сертификаты
открытых ключей X.509.
Ниже описываются действия по конфигурации Outlook Express, необходимые для
обеспечения защиты почтовых сообщений.
4.3.1.1. Конфигурация Outlook Express 6.0
Выберите пункт меню Сервис, Учетные записи... и нажмите на закладку Почта. В
отображаемом списке учетных записей, выберите ту, которую необходимо настроить и нажмите
кнопку Свойства. В отображаемом диалоге выберите закладку Безопасность. Отображаемый
диалог позволяет пользователю указать свои личные сертификаты, которые будут использоваться
при выборе личных ключей пользователя для формирования электронной цифровой подписи и
13
расшифровывания входящих сообщений. В диалоге выбора сертификатов отображаются только
сертификаты, имеющие совпадающий адрес электронной почты и разрешение на защиту
электронной почты.
Для настройки параметров шифрования и ЭЦП в главном меню почтового клиента
выберите пункт меню Сервис, Параметры... и нажмите на закладку Безопасность. В
отображаемом диалоге можно включить режимы Шифровать содержимое и вложения
исходящих сообщений и Включить цифровую подпись во все отправляемые сообщения для
того, чтобы шифрование и электронная цифровая подпись выполнялись автоматически для
каждого сообщения. Если эти режимы не включены, опции шифрования и подписи нужно будет
включать для каждого отправляемого сообщения.
Нажмите кнопку Дополнительно. В отображаемом диалоге возможно управление
следующими режимами:
Добавлять мой сертификат при отправлении сообщения с подписью. Установка этого
режима автоматически будет добавлять сертификат отправителя ко всем сообщениям. Этот режим
позволяет производить обмен сертификатами с использованием подписанного сообщения. А затем
14
использовать полученные сертификаты для последующего шифрования сообщений между
адресатами. Рекомендуется устанавливать.
Кодировать сообщения перед подписью (непрозрачная подпись). При включенном
режиме сообщения и все вложения будут объединены в единое вложение с включенной в него
цифровой подписью. Если режим выключен, то подпись формируется в виде одного отдельного
вложения для всех вложений.
Автоматически добавлять сертификат отправителя в адресную книгу. При
включенном режиме сертификаты, передаваемые в составе подписанного сообщения, будут
автоматически добавляться в адресную книгу. Рекомендуется устанавливать.
Проверять не были ли отозваны сертификаты:
 только при нахождении в сети установка флага проверки приводит к тому, что
каждая операция формирования или проверки электронной цифровой подписи
будет сопровождаться проверкой на отзыв сертификата. Для проверки на отзыв
используется список отозванных сертификатов (CRL), информация о
нахождении которого, записывается в виде дополнения в сертификате каждого
пользователя. По умолчанию данная опция не включена и Outlook Express не
отслеживает факта компрометации ключей пользователей. Рекомендуется
устанавливать.
 никогда не проверять проверка на отзыв не выполняется.
4.3.1.2. Отправка подписанных сообщений
Для создания и отправки подписанного сообщения нажмите кнопку
Создать
сообщение или выберите пункт меню Файл, Создать, Сообщение. Выберите получателя
сообщения (поле Кому) и введите тему сообщения. Если письмо будет содержать некоторые
файлы, добавьте их в письмо, использую кнопку
Вложить. Для подписания нажмите
кнопку
Подписать. Она должна быть в правой части экрана. Проверьте состояние кнопки
нажата; должен быть виден признак подписанного сообщения
(справа от поля с адресом
получателя).
После того, как сообщение подготовлено к отправке, нажмите кнопку Отправить.
4.3.1.3. Получение сертификата открытого ключа абонента для шифрования
сообщений
Для шифрования сообщений в адрес других пользователей необходимо предварительно
произвести обмен сертификатами. Для этого обычно достаточно переслать подписанное
сообщение в адрес требуемого абонента (сообщение посылается вместе с сертификатом
отправителя). После получения сообщения и проверки электронной цифровой подписи
производится автоматическое добавление адресата отправителя и его сертификата в адресную
книгу (если включен режим «Автоматически добавлять сертификат отправителя в адресную
книгу», см. пункт 4.3.1.1).
15
Для контроля добавления выполните следующие действия. Откройте полученное
подписанное письмо. Установите курсор на адрес отправителя и, нажав правую кнопку мыши,
выберите пункт Добавить в адресную книгу.
Для того, чтобы проверить наличие сертификата абонента в адресной книге, нажмите на
кнопку
Адреса в основном меню и выберите запись с требуемым абонентом. Если в записи
абонента отсутствует сертификат или сертификат не обновился (у абонента был старый
сертификат), удалите полностью запись абонента из адресной книге и получите от него
подписанное сообщение еще раз. При этом должно произойти автоматическое создание записи с
сертификатом.
Возможен также импорт сертификатов абонентов в адресную книгу. Для этого сертификат
интересующего абонента выбирается из реестра сертификатов адрес которого указан в разделе 2,
после чего в адресной книге при помощи контекстного меню вызываются Свойства
интересующего нас контакта и на вкладке Сертификаты производится Импорт… сохраненного
из реестра сертификата. В случае успешного импорта иконка напротив контакта должна принять
вид
.
4.3.1.4. Отправка шифрованных сообщений
Для создания и отправки зашифрованного сообщения нажмите кнопку
Создать
сообщение или выберите пункт меню Файл, Создать, Сообщение. Выберите получателя
16
сообщения (поле Кому) и введите тему сообщения. Если письмо будет содержать некоторые
файлы, добавьте их в письмо, использую кнопку
Вложить. Для отправки сообщения в
зашифрованном виде проверьте состояние кнопки
Зашифровать. Она должна быть
нажата и должен быть виден признак шифрованного сообщения
в правой части экрана. После
того, как сообщение подготовлено к отправке, нажмите кнопку Отправить.
4.3.2. Настройка и использование Microsoft Outlook
Использование средств криптографической защиты в Outlook во многом совпадает с
использованием в Outlook Express.
4.3.2.1. Конфигурация Outlook
Выберите пункт меню Сервис, Параметры… и нажмите на закладку Безопасность.
Нажмите кнопку Параметры.
Выберите личные сертификаты, соответствующие ключам подписи и шифрования,
используя кнопки Выбрать. Отображаемый диалог позволяет пользователю указать свои личные
сертификаты, которые будут использоваться при выборе личных ключей пользователя для
формирования электронной цифровой подписи и расшифрования входящих сообщений. Как уже
было отмечено раннее, в диалоге выбора сертификата отображаются только сертификаты,
имеющие совпадающий адрес электронной почты и разрешенные для защиты электронной почты.
Выберите пункт меню Сервис, Параметры.. и нажмите на закладку Безопасность. В
отображаемом диалоге можно включить режимы Шифровать содержимое и вложения
исходящих сообщений и Добавлять цифровую подпись к исходящим сообщениям для того,
чтобы шифрование и электронная цифровая подпись выполнялись автоматически для каждого
17
сообщения. Если эти режимы включены, опции шифрования и подписи нужно будет включать для
каждого отправляемого сообщения.
В этом же диалоге дополнительно можно установить опцию Отправлять подписанные
сообщения открытым текстом. При включенном режиме подпись формируется в виде одного
отдельного вложения для всех вложений. Если выключен -сообщения и все вложения будут
объединены в единое вложение с включенной в него цифровой подписью.
4.3.2.2. Отправка подписанных сообщений
Для создания и отправки подписанного сообщения нажмите кнопку
Создать
или выберите пункт меню Файл, Создать, Сообщение. Выберите получателя сообщения (поле
Кому) и введите тему сообщения. Если письмо будет содержать некоторые файлы, добавьте их в
письмо, использую кнопку
Вложить. Для отправки сообщения в подписанном виде нажмите
кнопку
Параметры в отображаемом диалоге нажмите кнопку Параметры
безопасности… и установите флаг Добавить цифровую подпись к исходящему сообщению.
После
кнопку
того,
как
Отправить.
сообщение
подготовлено
к
отправке
нажмите
4.3.2.3. Получение сертификата открытого ключа абонента для шифрования
сообщений
Для шифрования сообщений в адрес других пользователей необходимо предварительно
произвести обмен сертификатами. Для этого обычно достаточно переслать подписанное
сообщение в адрес требуемого абонента (сообщение посылается вместе с сертификатом
отправителя). После получения сообщения и проверки электронной цифровой подписи
производится автоматическое добавление адресата отправителя и его сертификата в адресную
книгу.
18
Для контроля добавления выполните следующие действия. Откройте полученное
подписанное письмо. Установите курсор на адрес отправителя и, нажав правую кнопку мыши,
выберите пункт Добавить к контактам. В отображаемом диалоге нажмите на закладку
Сертификаты и убедитесь в наличие сертификата отправителя.
После этого нажмите на кнопку Сохранить и закрыть. Если абонент с таким адресом уже
существует, программа предложит либо добавить данный контакт как новый, либо обновить
существующий контакт. Выберите пункт обновить существующий контакт. При этом в
существующий контакт будет добавлен полученный сертификат. Если контакт до этого содержал
сертификат, новый сертификат станет использоваться по умолчанию.
Возможен так же импорт сертификатов в Контакт, которые можно загрузить из реестра
сертификатов, расположенного по адресу, приведенному в разделе 2 настоящего руководства.
4.3.2.4. Отправка шифрованных сообщений
Для создания и отправки шифрованного сообщения нажмите кнопку
Создать
или выберите пункт меню Файл, Создать, Сообщение. Выберите получателя сообщения (поле
Кому) и введите тему сообщения. Если письмо будет содержать некоторые файлы, добавьте их в
письмо, использую кнопку
Вложить. Для отправки сообщения в зашифрованном виде
нажмите кнопку
Параметры в отображаемом диалоге нажмите кнопку Параметры
безопасности… и установите флаг Шифровать содержимое и вложения сообщений. После
того, как сообщение подготовлено к отправке, нажмите кнопку
Отправить.
4.4. Управление жизненным циклом сертификатов
После издания сертификата над ним могут выполняться следующие операции:
1. аннулирование;
19
2. приостановление действия;
3. возобновление действия.
4.4.1. Аннулирование сертификата
Аннулирование сертификата производится в случаях компрометации закрытого ключа, как
пользователя, так и удостоверяющего центра, а так же в случаях замены сертификата,
прекращения его работы и других случаях предусмотренных регламентом работы УЦ. Для
аннулирования сертификата(ов) необходимо:
1. распечатать и заполнить заявку на аннулирование сертификата(ов);
2. обратиться с заявкой в центр сертификации ПУЦ CA SRV21 и предоставить свой
ключевой носитель;
4.4.2. Приостановление действия сертификата
Приостановление сертификата производится в случаях временного отсутствия
необходимости в нем. При этом в заявлении указывается срок в днях, на протяжении которого
сертификат должен быть приостановлен. Для возобновления действия сертификата до окончания
срока приостановления должно быть подано заявление о возобновлении действия, в случае если в
указанный срок такое заявление не подано сертификат аннулируется. Для приостановления
сертификата(ов) необходимо:
1. распечатать и заполнить заявку на приостановление действия сертификата(ов);
2. обратиться с заявкой в центр сертификации ПУЦ CA SRV21;
4.4.3. Возобновление действия сертификата
Возобновление действия сертификата производится, если сертификат уже приостановлен и
необходимо возобновить его работу. Для возобновления действия сертификата(ов) необходимо:
1. распечатать и заполнить заявку на возобновление действия сертификата(ов);
2. обратиться с заявкой в центр сертификации ПУЦ CA SRV21;
5. Действия пользователей в аварийных ситуациях
При возникновении затруднений в ходе использования ИОК ОАО «СЗТ» и в случаях, не
описанных настоящим руководством необходимо обратиться за дополнительной информацией в
центр сертификации ПУЦ CA SRV21 Коми филиала ОАО «СЗТ».
6. Рекомендации по освоению ИОК ОАО «СЗТ»
Для более детального ознакомления с особенностями работы ИОК ОАО «СЗТ»,
юридическими аспектами применения сертификатов, возникающими правами и обязанностями,
налагаемыми на пользователей и других субъектов инфраструктуры необходимо ознакомиться со
следующими эксплуатационными документами:
 политики сертификатов;
 регламент подчиненного удостоверяющего центра CA SRV21 Коми филиала
ОАО «СЗТ»;
 иные документы, выпускаемые для ИОК ОАО «СЗТ»;
Интересующие вопросы, касающиеся работы и использования ИОК ОАО «СЗТ» можно
задать администратору ПУЦ CA SRV21 Коми филиала ОАО «СЗТ».