Re: Re: account/import certificate

Значит, так.

Там все работает, только страничка Secure Mail сделана по-дурацки, и будет переделана. Ну и на мануал времени не хватило пока. Так что вот вам мануал:

а) экспортируем из Outlook или из Netscape файл (.pfx, .p12). Он защищен паролем - бо там в нем должен быть ваш самый главный секрет - Private Key.

б) импортируем в страничку Secure Mail. CGP хранит PrivateKey тоже зашифровано, поэтому ВСЕ операции на этой страничке требуют пароля. Придумываем первый раз пароль, вводим его в Secure Mail Password. Вводим имя файла И ЕГО ПАРОЛЬ. То есть - вводим ДВА пароля (они могут быть разными).

в) Жмем "Modify", оно должно показать введенный сертификат, и показать длину запомненного ключа.

Внимание - пароль, которым защищен PrivateKey НИГДЕ НЕ СПАСАЕТСЯ. Поэтому если вы его забыли - то кранты. Не просто кранты сертификату с PrivateKey, а кранты всей зашифрованной почте, которую вы получили - ибо расшифровать ее можно только тем самым PrivateKey. Мы тут тоже ничем помочь не сможем - там криптография "без дураков".

Такчто - помните пароли хорошо. Хинт - пароли могут быть русскими или китайскими и могут быть весьма длинными, с пробелами. Типа "Ах, как хорошо на свете жить". Кстати, пароли при экспорте .p12, pfx - тоже могут быть такими. ПО ИДЕЕ (я не знаю, насколько чисто Микрософт и Нетскапе это реализовали, но по стандарту там - Unicode).

Ну а далее все просто - посылайте друг другу подписанные письма, клавиша "Take Address" превратится при приеме в Take Certificate, и в Address Book попадут сертификаты (у таких адресов будет стоять "[@]" маркер). На такие адреса можно посылать почту зашифрованно.

Если посылаете зашифрованное письмо, то для всех получателей должна быть запись в AddressBook, и в ней должне быть сертификат.

Свой сертификат спасается в settings - и, как правильно заметил Борис, оно для того и сделано, чтобы попасть в поле Directory. Только вот как оно будет работать - пока не проверено, и может, что и не будет (LDAP может не отдать DATA-поля - пока). Что НЕ работает:
  нельзя сделать Reply на зашифрованное письмо - то есть сделать можно, но он не сможет вынуть тело оригинала.
  нельзя сделать Forward и подписать такое письмо, если только сервер - не Windows (то есть он его отправит, но получаетелю будет сказано, что письмо кто-то отмодифицировал по дороге - проблема CRLF).   Если делать Forward зашифрованному письму, то оно его отправит "как есть", хотя нужно было бы (опционально?) вставлять расшифрованное письмо.

Это сделаем к релизу.

Что НЕ сделаем к 4.0 - это проверка личности в подписи. То есть оно проверяет, что письмо подписано правильно и не менялось, а вот то, что подписант - это действительно Вася Пупкин, а не кто-то, кто состряпал себе сам сертификат на Васю - не проверяет. то есть - нету хранилища "trusted authorities" (типа VeriSign и Thawte), такого, что "верить" оно будет только выданным им сертификатам - плюс выданным всеми теми Authorities, которые пользователь или админ добавил в "хранилище trusted".

Сделать это не проблема, но времени до выпуска 4.0 не хватит.

Да, еще. Private Key сам не расшифровывается. Надо вводить свой пароль. После ввода - оно хранит в памяти расшифрованный ключ где-то 3 минуты. Если пойти покурить - то чтобы прочитать зашифрованное письмо опять надо будет опять ввести свой пароль. Аналогично с отправкой писем - пока в памяти нет расшифрованного пароля - не будет работать Send Signed/Send Encrypted.

Send Encrypted требует своего пароля потому что письмо шифруется так, что расшифровать его, кроме получаетелей, может и сам отправитель.

Так что - вперед, если что-то из заявленного не работает - дайте, пожалуйста, знать.

On Wed, 9 Oct 2002 14:08:57 +0400
  Boris Tyshkiewitch <bvt@zenon.net> wrote:

> Насколько я понял, это пароль на конкретный файл, в который
> производился
> экспорт.
>
> Но все равно ничего не работает.
>
> - получил персональный сертификат на thawte для outlook/ie
> - настроил и проверил работу сертификата в outlook express
> - сделал экспорт в pfx файл, указав пароль
> - на странице Secure Mail указал этот файл и пароль
> - ничего не произошло. по прежнему "account does not have certifacate"
>
> 14:05:56.68 5 HTTPU connection request from [127.0.0.1:2348], socket=1436
> 14:05:56.68 4 HTTPU-00052([127.0.0.1]) got connection on [127.0.0.1:8100]
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: POST
> /Session/3-LquxIQ0Rl3CEFlM43I3Y/Certificate.wssp HTTP/1.1
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Accept: image/gif,
> image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel,
> application/vnd.ms-powerpoint, application/msword, */*
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Referer:
> http://test.ru:8100/Session/3-LquxIQ0Rl3CEFlM43I3Y/Certificate.wssp
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Accept-Language: ru
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Content-Type:
> multipart/form-data; boundary=---------------------------7d2293385075e
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Accept-Encoding: gzip, deflate
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: User-Agent: Mozilla/4.0
> (compatible; MSIE 6.0; Windows NT 5.1)
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Host: test.ru:8100
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Content-Length: 4599
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Connection: Keep-Alive
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp: Cache-Control: no-cache
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) inp:
> 14:05:56.69 4 HTTPU-00052([127.0.0.1]) Request for
> /Session/3-LquxIQ0Rl3CEFlM43I3Y/Certificate.wssp
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) Header: HTTP/1.1 200
> OK\r\nContent-Length: 4524\r\nCONNECTION: close\r\nDate: Wed, 09 Oct 2002
> 10:05:56 GMT\r\nContent-Type: text/html; charset=utf-8\r\nServer:
> 14:05:56.69 4 HTTPU-00052([127.0.0.1]) Retrieved 4766 bytes
> 14:05:56.69 5 HTTPU-00052([127.0.0.1]) out: HTTP/1.1 200
> OK\r\nContent-Length: 4524\r\nCONNECTION: close\r\nDate: Wed, 09 Oct 2002
> 10:05:56 GMT\r\nContent-Type: text/html; charset=utf-8\r\nServer: Com
> 14:05:56.69 4 HTTPU-00052([127.0.0.1]) closing connection
> 14:05:56.69 4 HTTPU-00052([127.0.0.1]) releasing stream
>
> > > Кстати, а в ldap этот сертификат аккаунта можно будет запросить?
> > > Ну, знаете, как это netscape, например, делает.
>
> В changes последней беты написанно что во всех структурах теперь можно
> хранить binary data. Скорее всего именно для этого. Так что ждем. Неужели
> все это счастье будет работать к релизу?
>
> Boris.
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>

Sincerely,
Vladimir Получено Wed Oct 09 11:39:37 2002