S/MIME в Mozilla Thunderbird?

Question

[ksnovv]

Всем добрый день!
Пытаюсь разобраться с подписью/шифрованием в клиенте Mozilla Thenderbird. Клиент установлен на Astra Linux. Подключается к Exchange и MS AD для получения адресной книги. Сертификат пользователя лежит на смарт карте (etoken 5110). PKCS 11 модуль подключен.
На текущий момент ситуация следующая - клиент успешно открывает зашифрованные в MS Outlook сообщения, но не может подписать и зашифровать сообщения по причине недоступности сертификата получателя который опубликован в MS AD,
Сейчас фильтр поиска имеет такой вид (&(objectCategory=person)(objectClass=user)) и сертификат не подгружается. Подозреваю что дел в фильтре поиска, но пока ничего из испробованного не срабатывает.
У кого нибудь был успешный опыт ?

Comments

[Alexey Dmitriev]

В TB свое хранилище сертификатов.
Можно достучаться до сертификатов в хранилище сертификатов в ОС на компе через включение в TB ImportEnterpriseRoots

Answer 1

[CityCat4]

Ну, у меня неуспешный опыт.

«Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

Потому что:
- у TB совершенно другая адресная книга и в ней совершенно другие поля
- TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

То есть:
- открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
- открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
- открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

Поэтому:
- если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
- если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

Как сделано у нас:
- СA на линухе, конкретно у меня на компе
- при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
- на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
- при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
- проблема почтовых групп не решена никак

Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...

Comments

[ksnovv]

Спасибо за информацию.
Сейчас PKI основан на MS ADCS и задача как раз и стоит обеспечить возможность шифрования в переходный период когда рабочие места смешанные (MS/Linux - TB/Outlook) и используются существующие смарт карты.
Буду пробовать дальше, поскольку судя по всему они эту задачу (загрузка сертификатов из AD) рассматривали и это даже в старых версиях работало.
И еще вопрос. А все вышеизложенное касается только AD ? Если к примеру вводится еще одна служба каталогов, к примеру Samba, содержащая атрибут userCertificate что то меняется ?

[CityCat4]

ksnovv, В старых версиях чего? Если TB, то никогда там ничего не работало. Да, писали разные дополнения, но ни одно запустить не удалось.
Фундаментальная проблема - не AD, а адресная книга TB и ее методология хранения сертификатов. В той версии, что у меня стоит - там просто нет поля для хранения сертификата. В принципе. Это нужно лезть в исходники TB, чтобы понять что там к чему.

Я уже чего только не придумывал - не складывается из букв О,Ж,А,П слово "вечность" :) KMail - убоище, Claws Mail - убоище страшное, Evolution вот еще не пробовал...

Хотя время от времени TB пытается что-то искать - вот только где и каким образом. Это tcpdump натравливать надо, чтобы видеть - куда он лезет, что ищет. Модификацию схемы AD конечно никто делать не будет - мне кажется риски великоваты, но DC на самбе вполне можно было бы сколхозить...

[ksnovv]

Еще раз спасибо. Буду разбираться.
Если что то получится - напишу.

[ksnovv]

В общем установка последней версии TB проблему не решило. Поиск говорит что в 2010-2011 годах все работало но затем поддержку выпилили и атрибут userCertificate не поддерживается.
Evolution заработал. Сертификаты из AD погружаются, шифрование работает.

[CityCat4]

ksnovv, Слишком давно. Это скорее всего было при "первой революции" (TB/FF пережило две кардинальные революции с полной сменой API, при этом "погибло" множество интересных и нужных расширений, авторы которых не захотели изучать новое API и адаптировать).
Про Evolution - новость интересная, скоро доберусь до тестирования.