Пример сертификата неавторизованного центра сертификации ( для The Bat! )

Вы создаёте сертификат для своего почтового адреса, некое третье лицо проверяет соответствие действительности введенной информации и выдаёт разрешение на использование этого сертификата. Данным сертификатом Вы подписываете каждое исходящее сообщение. При получении Вашего письма адресат видит, что письмо подписано и Ваша подпись проверенна и подтверждена третьим лицом , так называемым "центром сертификации". Теперь, если по пути письмо попытались изменить, или просто его отправляли от Вашего имени, подпись станет недействительной и получатель поймёт, что письмо не от Вас.

Общепризнанные центры сертификации, как правило платные. Общепризнанность выражается в том, что подлинность подписей на выданных ими сертификатах можно проверить по встроенным в почтовые агенты и браузеры сертификатам этих CA. Т.е. пользовательские программы доверяют им по умолчанию. Вы можете получить серверные сертификаты у общепризнанных CA – Thawte, VeriSign, GeoTrust и т.п. Украина, как обычно, "прощелкала" в свое время создание подобного центра сертификации. Сертификаты может в принципе выпускать любая компания. Во многих случаях используются самовыданные сертификаты или сертификаты не включенных в списки доверенных CA. Главное, чтобы эти сертификаты признавались пользователями. В этом случае пользовательская программа выдает окошко с вопросом, доверяет ли пользователь этому центру сертификации. Для этого пользователям новоявленного центра сертификации необходимо пройти процедуру "Добавить данный сертификат к доверенным" или иными словами "установить корневой сертификат".

Для примера ниже приведена процедура получения сертификата компании Диск-Инфо, Москва

Установка корневого сертификата (CA)

1. Скачиваем сертификат:
2. Правой кнопкой мыши кликаем на созданном аккаунте, нажимаем меню "Properties..."
3. Переходим на надпись "Transport"
4. Увидели надпись "Connetcions" левее которой есть поля с надписью "Regular"? Тыкаем на стрелочки в правом углу полей и выбираем "Secure to dedicated port (TSL)". Таких поля два. При этом порты (ещё правее) меняются - оставляем так, как они изменились.
5. Проверяем установилась ли APOP шифрация. Для этого тыкаем кнопочку "Authentication" (вторую сверху) и смотрим, стоит ли там MD5 APOP, если нет - ставим.
6. Переходим на надпись "General" и кликаем кнопку "Edit personal Certificates".
7. Переходим на вкладку "Certificates" и жмём кнопочку "Import..."
8. Выбираем скачаный сертификат -> "Open"
9. Вот он как выглядит. Кликаем один раз на него и один раз на "View"
10. Не забудте посмотреть подробности, а вдруг он не наш?!
11. Похоже на правду? Далее переходим на вкладку "Certification Path", выбираем наш сертификат и кнопочку "Add to Trusted" (а снизу написанно, что Disk-Info не является доверительным корневым сертификатом... ещё бы!)
12. "OK"
13. Вот теперь наш сертификат правильный! Добавляем в адресную книгу: "Add to Adress Book"
14. Проверяем что вышло: пытаемся забрать почту, после чего смотрим в лог... Там всё в порядке!

Цифровая подпись

Шаг 1:
1. Откройте программу The BAT!
2. Кликните правой кнопкой мыши по адресу, который Вы хотите защитить сертификатом.
3. В появившемся меню выберите "свойства".
4. Нажмите кнопку "Сертификаты".
5. Нажмите кнопку "Создать".
6. Выбирая поочерёдно поля: name, givenName, surname, emailAddress, commonName введите свои данные: Имя, Фамилию, Отчество, почтовый адрес. В поле commonName пользователи Диск-Инфо должны написать номер договора или IP адрес. Другие пользователи должны ввести в этом поле свой телефон.
7. Нажимаем кнопку OK
8. Оставляем 1024 и снова нажимаем OK
9. Вводим и подтверждаем пароль, который будет использоваться в дальнейшем для защиты сертификата от использования третьими лицами.
10. Кликаем на появившийся сертификат два раза и видим ошибку, которая означает, что сертификат никем не подписан. В таком виде оставлять его нет смысла, поэтому закрываем открывшееся после двух кликов окошко и кликаем клавишу: "запрос..."
11. Активируем третий пункт: "Отправить электронной почтой в центр сертификации" и вписываем адрес: root@dinfo.ru
12. Вводим пароль, который задали для сертификата.
13. Кликните ОК, после чего не забудьте нажать кнопку доставки почты, иначе письмо с запросом на проверку ещё долго будет валяться в исходящих.

Шаг 2:
1. Пока письмо окольными дорогами идёт до центра сертификации, пока администраторы этого сервера удостоверяются, что ящик принадлежит Вам, и подписывают письмо, может пройти немало времени (до двух недель), поэтому, не теряя время даром, подготовимся к использованию сертификата. Так как Windows не знает и наверняка никогда не узнает о центре сертификации Диск-Инфо, Вам придётся скачать и установить сертификат компании Диск-Инфо . Сохраните этот сертификат в удобном для Вас месте, кликните дважды на файле и жмите "далее" до тех пор, пока сертификат не установится. В связи с тем, что The BAT! использует собственную базу доверенных корневых центров сертификации, скачанный сертификат необходимо добавить в эту базу.
2. Нажмите кнопку "Импортировать..."
3. выберите скачанный сертификат
4. после импорта дважды кликните на нём перейтиде на последнюю вкладку ("Путь сертификации") и кликните кнопку "Добавить к доверенным". Кстати, то же самое предстоит сделать всем тем, кому Вы будете слать подписанные сообщения, иначе они не смогут проверить подлинность сертификата.

Шаг 3:
1. После получения сертификата подписанного центром сертификации. Сохраните полученный его на диск.
2. Запустите The BAT! и снова войдите в меню работы с сертификатами.
3. Нажмите кнопочку "Импортировать..." и укажите файл, полученный от центра сертификации.
4. Можете дважды кликнуть на полученный сертификат и посмотреть, какое всё зелёное. Если есть какие-то ошибки, значит, Вы что-то не так делали или что-то не вышло - напишите об ошибке в центр сертификации
5. Теперь выберите старый сертификат и нажмите кнопку "Удалить" (старый сертификат от нового отличает то, что у него корневой центр сертификации не mail.dinfo.ru)
6. Всё! Теперь Вы счастливый обладатель сертификата, подписанного корневым центром сертификации компанией Диск-Инфо.

Шаг 4:
1. Осталась самая малость: приучить The BAT! подписывать каждое отсылаемое письмо. Для этого в свойствах ящика, для которого Вы всё это настраиваете, нужно выбрать меню "параметры" и там указать: "Подписать перед отправкой", "Авто S/Mime". Шифровать и Авто OpenPGP нужно отключить, если Вы ими не пользуетесь.
2. Теперь попробуйте отправить письмо и Вас спросят пароль. Введите пароль. Всё, письмо подписано и модификациям не подлежит.