Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lartok  
#1 Оставлено : 23 октября 2017 г. 10:21:11(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте! Извиняюсь, писал уже тут https://www.cryptopro.ru...s&m=84722#post84722.
Суть проблемы:
1.Формирую @-сообщение (jre7+JCP2.0.37)
2.Подписываю (сертификат с пунктом "Защищенная электронная почта (1.3.6.1.5.5.7.3.4)")
3.Подпись проверял на http://dss.cryptopro.ru/Verify/Verify/ (Формат CMS,открепленная-прикладывал оригинал сообщения) - проходит валидацию.
4.Почтовики подпись видят,но пишут что письмо "Фальсифицировано". (Как я понимаю,подпись корректная,но сформировал или отправил сообщение другой пользователь(не владелец сертификата)).

Допустим сертификат выдан на cert@test.ru
Формируется,подписывается сообщение юзером "Ivan",отправляется через SMTP сервер использующий авторизацию пользователя "Petr".

Может я чего-то не понимаю,"просветите" пожалуйста.

P.S.: Надо ли где-нибудь (SMTP сервер например) прописывать корневой сертификат УЦ?

Отредактировано пользователем 23 октября 2017 г. 13:59:18(UTC)  | Причина: Не указана

Offline Андрей Емельянов  
#2 Оставлено : 23 октября 2017 г. 16:21:20(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
Цитата:
Допустим сертификат выдан на cert@test.ru
Формируется,подписывается сообщение юзером "Ivan",отправляется через SMTP сервер использующий авторизацию пользователя "Petr".


Следует обратить особое внимание на две следующие особенности при формировании
сертификатов пользователей, используемых в электронной почте:
• сертификат пользователя должен содержать дополнение расширенная область
применения ключа (extendedKeyUsage) со значением 1.3.6.1.5.5.7.3.4 (защита
электронной почты);
• сертификат пользователя должен содержать адрес электронной почты Владельца
сертификата в формате RFC 822 (name@domain.country).

Адрес электронной почты указанный в сертификате должен совпадать с адресом почты отправителя.

Статья на сайте на примере c outlook https://www.cryptopro.ru...ult/files/docs/smime.pdf
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline lartok  
#3 Оставлено : 23 октября 2017 г. 17:00:12(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
В составе сертификата поле "Улучшенный ключ":
Цитата:
Неизвестное использование ключа (1.2.643.2.2.34.6)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Защищенная электронная почта (1.3.6.1.5.5.7.3.4)


поле "Субьект":
Цитата:


SMTP сервер без авторизации,указываем from="123@456.ru". Нужно ли где-нибудь прописывать корневой сертификат УЦ?

Нужно ли на SMTP сервере добавить корневой сертификат УЦ в доверенные сертификаты?

Отредактировано пользователем 23 октября 2017 г. 17:01:38(UTC)  | Причина: Не указана

Offline Андрей Емельянов  
#4 Оставлено : 24 октября 2017 г. 12:05:53(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
Нужно ли на SMTP сервере добавить корневой сертификат УЦ в доверенные сертификаты?

Не нужно.
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline lartok  
#5 Оставлено : 25 октября 2017 г. 8:06:30(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: eav Перейти к цитате
Цитата:
Нужно ли на SMTP сервере добавить корневой сертификат УЦ в доверенные сертификаты?

Не нужно.


Можно Вам письмо подписанное отправить,может подскажите в чем дело ("я уже голову сломал")?
Offline Андрей Емельянов  
#6 Оставлено : 25 октября 2017 г. 13:31:21(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
Можно Вам письмо подписанное отправить,может подскажите в чем дело ("я уже голову сломал")?

Да, попробуйте отправить на ящик eav@cryptopro.ru
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Offline Андрей Емельянов  
#7 Оставлено : 25 октября 2017 г. 14:06:58(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
4.Почтовики подпись видят,но пишут что письмо "Фальсифицировано". (Как я понимаю,подпись корректная,но сформировал или отправил сообщение другой пользователь(не владелец сертификата)).

Возможно, здесь надо копать в сторону настроек для почтового сервера.
http://forum.ixbt.com/topic.cgi?id=7:26978
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
lartok оставлено 25.10.2017(UTC)
Offline lartok  
#8 Оставлено : 25 октября 2017 г. 16:38:19(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: eav Перейти к цитате
Цитата:
Можно Вам письмо подписанное отправить,может подскажите в чем дело ("я уже голову сломал")?

Да, попробуйте отправить на ящик eav@cryptopro.ru


Что-то я в замешательстве тогда,раз письмо и подпись корректные - почему у 2 клиентов

1. Outlook
2017-10-25.png (84kb) загружен 53 раз(а).

2. Gmail
2017-10-25 S_MIME - Gmail.png (46kb) загружен 53 раз(а).

Отредактировано пользователем 25 октября 2017 г. 16:43:11(UTC)  | Причина: Не указана

Offline lartok  
#9 Оставлено : 25 октября 2017 г. 17:01:06(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Есть какой-нибудь online сервис (почтовый сервер) чтобы проверить сообщение?
Offline Андрей Емельянов  
#10 Оставлено : 26 октября 2017 г. 12:14:50(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Цитата:
Есть какой-нибудь online сервис (почтовый сервер) чтобы проверить сообщение?

Такой информации у нас нет.

По сриншотам не очень понятно.. возможно все-таки условие не выполняется
Цитата:
Адрес электронной почты указанный в сертификате должен совпадать с адресом почты отправителя.






Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.