В MS Windows есть неплохой механизм шифрования и подписи почты пользовательскими сертификатами на смарт-картах (токенах). Однако не всегда понятно, как с этим работать в гибридной ИТ-инфраструктуре, когда часть рабочих станций, а то и все, работают под управлением ОС с ядром Linux.
Проблема в том, что в Linux -дистрибутивах из коробки, как правило, программы не стремятся работать с ключевыми носителями, в нашем случае со смарт-картами. Однако, этот вопрос всегда можно решить доустановкой соответствующих модулей, которые есть в стандартных репозиториях и их настройкой.
В этой статье мы опишем процесс шифрования почты сертификатом на токене JaCarta разработки компании «Аладдин Р.Д.», в почтовом клиенте Evolution, в дистрибутиве Debian и продемонстрируем возможность шифрования почтовых сообщений в гибридной ИТ-инфраструктуре.
Общий принцип решения
При помощи команды modutil регистрируем библиотеку PKCS11 для почтового клиента.
После этого сертификат на JaCarta будет виден в списке личных сертификатов в настройках.
Далее указывается этот сертификат для операций sMIME.
7 шагов к шифрованию почты
Шифрование почты сертификатом на токене JaCarta в системе Debian и почтовом клиенте Evolution:
1. Устанавливаем пакет libnss3-tools:
# apt install libnss3-tools
2. Предварительно закрыв Evolution, регистрируем модуль:
modutil -add "JaCarta" -libfile /usr/lib/libjcPKCS11-2.so -dbdir ~/.local/share/evolution;/
3. Подключаем JaCarta, запускаем Evolution (при входе в настройки должен быть запрошен PIN-код).
4. В настройках учетной записи, в разделе Security, выбираем сертификат для шифрования (Encryption certificate):
5. В адресной книге выбираем адресата.
6. Открываем свойства и в разделе «Сертификаты» указываем открытую часть сертификата этого пользователя из файла *.cer (данный файл можно экспортировать стандартными средствами, формат DER).
7. При отправке почты в опциях указываем S/MIME encrypt (Параметры → Зашифровать с помощью S/MIME).
Если в адресной книге у адресата указан сертификат, сообщение будет успешно зашифровано и отправлено, а также будет доступно получение и чтение зашифрованной почты.
Заключение
Аналогично мы можем настроить подпись сообщений. Для этого нужно будет на стороне отправителя и получателя добавить сертификат ЦС, который выпустил сертификат для пользователя:
Спасибо за внимание!
Автор: karen-okr