@ksnovv

S/MIME в Mozilla Thunderbird?

Всем добрый день!
Пытаюсь разобраться с подписью/шифрованием в клиенте Mozilla Thenderbird. Клиент установлен на Astra Linux. Подключается к Exchange и MS AD для получения адресной книги. Сертификат пользователя лежит на смарт карте (etoken 5110). PKCS 11 модуль подключен.
На текущий момент ситуация следующая - клиент успешно открывает зашифрованные в MS Outlook сообщения, но не может подписать и зашифровать сообщения по причине недоступности сертификата получателя который опубликован в MS AD,
Сейчас фильтр поиска имеет такой вид (&(objectCategory=person)(objectClass=user)) и сертификат не подгружается. Подозреваю что дел в фильтре поиска, но пока ничего из испробованного не срабатывает.
У кого нибудь был успешный опыт ?
  • Вопрос задан
  • 48 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
Ну, у меня неуспешный опыт.

«Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

Потому что:
- у TB совершенно другая адресная книга и в ней совершенно другие поля
- TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

То есть:
- открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
- открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
- открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

Поэтому:
- если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
- если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

Как сделано у нас:
- СA на линухе, конкретно у меня на компе
- при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
- на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
- при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
- проблема почтовых групп не решена никак

Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы