Перейти к содержанию

Шифрование S/MIME в Почте

Назначение документа

S/MIME (Secure/Multipurpose Internet Mail Extensions) — это стандарт для обеспечения безопасности электронной почты, который позволяет шифровать сообщения и придавать им цифровую подпись. Это гарантирует конфиденциальность, целостность и подлинность отправляемых писем.

В документе описано как включить S/MIME в Почте VK WorkSpace

Как включить S/MIME

  1. В веб-интерфейсе установщика VK WorkSpace, перейдите в раздел НастройкиПеременные окружения.

  2. В левом боковом меню найдите mailapi.

  3. Нажмите кнопку редактировать edit_icon.

  4. Нажмите на кнопку + Добавить.

  5. В поле Название переменной введите ENABLE_SMIME_TEST, в поле Значение переменной введите 1

    img

  6. Нажмите Сохранить.

  7. Выполните шаг up_container для всех контейнеров mailapi.

Какие сертификаты используются

S/MIME в Почте использует следующие сертификаты:

  • Из адресной книги после миграции из Active Directory.
  • Из КриптоПро CSP, они загружаются локально. В этом случае сертификатов не будет в адресной книге Почты VK WorkSpace, они будут только на компьютере пользователя.

Миграция сертификатов из Active Directory

Сертификаты загружаются в Адресную книгу при синхронизации с AD из поля userSMIMECertificate и значения userCertificate. Чтобы проверить, что сертификаты мигрируют или указать их вручную:

  1. Перейдите в панель администратора VK WorkSpace biz.<ваш домен> и авторизуйтесь от имени администратора.
  2. Перейдите в панель администратора /amin/misc по адресу https://biz.<ваш домен>/admin/misc и перейдите в раздел Администрирование -> Настройки on-premise -> Настройки Active Directory.

  3. Кликните по имени нужного домена и найдите поле userSMIMECertificate:

    "contacts": {
  "enable": true,
  "remove": true,
  "attr_map": {
    "userSMIMECertificate": "userCertificate"
}

При успешной синхронизации сертификаты должны отобразиться в адресной книге

img

Как использовать локальные сертификаты через КриптоПро CSP

Чтобы отправить зашифрованное письмо нужно получить публичный (открытый) сертификат адресата. Экспортируются сертификаты в программе Инструменты КриптоПро (CryptoPro Tools).

Примечание

Чтобы загрузить открытый сертификат в адресную книгу, нужно экспортировать его в формате Base64.

img

Что установить сертификаты для отправки письма:

  1. Перейдите на вкладку Сертификаты.
  2. В выпадающем меню сверху выберите Другие пользователи.

  3. Нажмите кнопку Установить сертификаты или перетащите файл в рабочую область программы.

    img

Как проверить работу S/MIME

Используйте шаги ниже только для проверки работоспособности. Описанный алгоритм не подходит для полноценной работы шифрования на инсталляции.

  1. Выдайте тестовый сертификат на CRYPTO-PRO Test Center 2: https://testgost2012.cryptopro.ru/certsrv/certrqma.asp.
  2. Установите тестовый сертификат на компьютер.
  3. Найдите тестовый сертификат в Инструментах Крипто Про, на вкладке Сертификаты → Личные.
  4. Экспортируйте сертификат в формате Base64 на компьютер и откройте файл.
  5. Сконвертируйте содержимое файла в формат Hexadecimal.
  6. Откройте пользователя в Active Directory. Кликните правой кнопкой мыши по пользователю, нажмите Properties и перейдите на вкладку Attribute Editor.
  7. Найдите в списке параметр userSMIMECertificate и откройте для редактирования.
  8. Нажмите Add. В поле Value format: укажите Hexadecimal и вставьте в поле сертификат полученный на шаге 5.

  9. Примените изменения.

    img

  10. Авторизуйтесь другим пользователем этого домена и откройте адресную книгу.

  11. Найдите пользователя в адресной книге и проверьте сертификат.