Лабораторная работа № 6. Создание удостоверяющих сертификатов для электронной почты

Введение

В большинстве почтовых программ, в частности в программах Outlook Express, Microsoft Outlook, Lotus Notes и др. включена возможность отправить шифрованное сообщение или/и снабдить отправляемое сообщение электронной цифровой подписью. Посылка подписанного сообщения требует наличия установленного на компьютере сертификата. Для того, чтобы отправить кому-либо зашифрованное сообщение необходимо, чтобы Ваш корреспондент (тот, кому Вы собираетесь послать сообщение) получил сертификат электронной цифровой подписи и прислал его Вам.

Структура цифрового сертификата

Помимо открытого ключа и имени, с которым ассоциирован ключ, сертификат содержит ряд других важных сведений.

Структура сертификата PKI

Каждый сертификат включает в себя данные о выдавшем его удостоверяющем центре (УЦ), необходимые для проверки подлинности. У каждого сертификата есть серийный номер и срок действия (по окончании этого срока сертификат, если он еще нужен, может быть продлен). Если сертификат оказался не нужен (или скомпрометирован) до окончания срока действия, он должен быть отозван в УЦ. Отозванный сертификат теряет юридическую силу.

Подлинность сертификата подтверждается цифровой подписью УЦ. УЦ подписывает свои сертификаты (то есть, вычисляет хэш-значение сертификата и шифрует его своим секретным ключом).

Проверить подлинность подписи УЦ можно расшифровав подпись сертификата с помощью открытого ключа УЦ. А как проверить подлинность открытого ключа УЦ? Публичный ключ УЦ, выдавшего сертификат, может быть заверен сертификатом УЦ более высокого уровня (так образуется цепочка сертификатов, называемая путем сертификации).

Задание

Требуется:

1) получить сертификат открытого ключа для электронной почты.

2) настроить почтовый клиент.

3) послать письмо по адресу ignatiev@igt.ispu.ru, подписанное Вашей электронной подписью. В письме нужно указать фамилию, имя, отчество, номер группы. В заголовке письма следует написать: МиСЗКИ. Лабораторная работа №6.

4) получить зашифрованное письмо, прочитать число, которое в нём было прислано.

5) выслать полученное число по адресу ignatiev@igt.ispu.ru в зашифрованном виде и подписанное Вашей электронной подписью.

1. Получение сертификата

Для создания собственного сертификата зайдите на страницу «Free Secure Email Certificate» по адресу

http://www.comodo.com/home/email-security/free-email-certificate.php

и нажмите кнопку [Free Download].

Будет выведена форма для регистрации.

На сообщение:

Следует разрешить операцию.

Если на Вашем компьютере не установлена (или установлена устаревшая) версия утилиты генерации ключей и запросов «Microsoft Certificate Enrollment Control», на экран будет выдано сообщение, предлагающее выполнить установку данной утилиты. Для установки, нажмите ссылку «here», а на вопрос о подтверждении установки – дать разрешение.

В регистрационной форме требуется заполнить поля:

Имя (First Name),

Фамилия (Last Name),

адрес электронной почты (Email Address),

страна (Country).

Advanced Private Key Options оставляем без изменений.

Revocation Password – это пароль для отмены сертификата (если сертификат с закрытым ключом утерян или попал к третьим лицам).

Флажок Comodo Newsletter убрать – подписываться нет смысла.

Быстро ознакомится с текстом соглашения и согласиться с ним – установить флажок «I ACCEPT the terms of this Subscriber Agreement».

Нажать кнопку [Next>].

На вопрос о разрешении запроса нового сертификата нажать кнопку [Да].

Будет выведено сообщение о том, что Вам на указанный адрес высланы дальнейшие инструкции.

Открыв свой почтовый ящик, Вы увидите следующее письмо:

Если MS IE ваш браузер по умолчанию, нажимаем большую красную кнопку [Click & Install Comodo Email Certificate]. Если нет, копируем ссылку с помощью правого клика, запускаем Эксплорер вручную и открываем в нем скопированную ссылку. Следует отметить, что для получения сертификата открывать ссылку надо на том же самом компьютере и в том же самом браузере в котором вы создавали запрос на сертификат!

Далее должно появиться предупреждение о том, что веб-сайт пытается импортировать сертификат на ваш компьютер:

Нужно нажать кнопку [Да].

В случае успеха на web-странице появится красная надпись Successful.

На всякий случай можно проверить корректность установки сертификата. Открываем в панели управления или в Эксплорере Свойства Интернет (Internet Options), далее переходим на закладку Содержание (Content), нажимаем кнопку Сертификаты (Certificates).

На вкладке Личные (Personal) должен отображаться ваш новый сертификат. С помощью двойного щелчка можно посмотреть его свойства.

Теперь можно переходить ко второй части – настройке почтового клиента.