Несколько доменных имен и SSL

[Ficoos]

Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.

 

[lmike]

Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.

SSL сертификат и s/mime - это перпендикулярно
s/mime может быть встроен в ИД, в хэлпе есть

 

[Ficoos]

SSL сертификат и s/mime - это перпендикулярно
s/mime может быть встроен в ИД, в хэлпе есть

Это понятно. Просто для тревелера у нас на сервере установлен SSL, а теперь надо будет почту подписывать и шифровать некоторым пользователям. Вот я и думаю, могу ли я для одного домена зарегистрировать интернет сертификат из связки ключей в SSL, что бы выдать сертификаты клиентам для шифрования и подписи почты? Или надо все-таки покупать S/MIME для каждого домена, для которых получает почту сервер?

 

[lmike]

Это понятно. Просто для тревелера у нас на сервере установлен SSL, а теперь надо будет почту подписывать и шифровать некоторым пользователям. Вот я и думаю, могу ли я для одного домена зарегистрировать интернет сертификат из связки ключей в SSL, что бы выдать сертификаты клиентам для шифрования и подписи почты? Или надо все-таки покупать S/MIME для каждого домена, для которых получает почту сервер?

в случае с мобильными устройствами - оно вовсе отвязано

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[Ficoos]

в случае с мобильными устройствами - оно вовсе отвязано

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Нет! это надо для жирного клиента. Что бы переписываться, например со страховой компанией, внешний СЭД. Это НЕ для мобильных приложений. Почитал мануал книжки по администрированию Domino... очень уж длинно и запутанно все это делается...

 

[rinsk]

Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.

Если про https://
То по моему сейчас домино поддерживает SPN и на 1 IP адресе можно несколько доменов HTTPS

 

[Ficoos]

Собственно разобрался с доменами и с s/mime. Теперь появился новый вопрос: Есть лотусовый сервер, который стоит как шлюз отправки сообщений в интернет и есть лотусовый сервер, на котором хранятся почтовые базы пользователей. Вот, что бы почта была шифрованая и подписанная ключами s/mime на каком сервере надо регистрировать интернет сертификат и присовокупить keyfile.kyr? На шлюзе или на том, где хранятся почтовые базы пользователей? Адресные книги реплицированы между серверами.

 

[Ficoos]

Что, нет полезных советов по последнему вопросу?

 

[lmike]

Что, нет полезных советов по последнему вопросу?

не прошло и года ...
подпись делается приватным ключом, он есть только у клиента (так правильно)
сервер здесь причём?

 

[Ficoos]

Приватный ключ - не подходит. Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime. На каком сервере должны быть установлен сертификат keyring с ключами s\mime: на шлюзовом сервере или на сервере, где установлены почтовые ящики пользователей?

 

[rinsk]

Доверять s\mime лотусовому ? Имхо в РФ это баловство )))

 

[Ficoos]

Доверять s\mime лотусовому ? Имхо в РФ это баловство )))

Это не самоподписанный сертификат будет.

 

[aameno2]

Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime

Но ведь смысл подписи именно отправителем, т.е. пользователем. Не?
И потом, если у вас не самоподписанные серты то кой еси разница? Новый серт, ца тот же, доверие есть.
Вот если бы вы сказали честно. Я хочу экономить и не хочу покупать интермедиа ца - это все имеет смысл.
В этом случае, если вам интересно, я бы подписывал на православном релее аля постфикс. Если конечно нет задачи создать себе геморрой)
Хотя в общем эти подписи баловство)

 

[Ficoos]

Но ведь смысл подписи именно отправителем, т.е. пользователем. Не?
И потом, если у вас не самоподписанные серты то кой еси разница? Новый серт, ца тот же, доверие есть.
Вот если бы вы сказали честно. Я хочу экономить и не хочу покупать интермедиа ца - это все имеет смысл.
В этом случае, если вам интересно, я бы подписывал на православном релее аля постфикс. Если конечно нет задачи создать себе геморрой)
Хотя в общем эти подписи баловство)

Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.

 

[lmike]

Приватный ключ - не подходит. Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime. На каком сервере должны быть установлен сертификат keyring с ключами s\mime: на шлюзовом сервере или на сервере, где установлены почтовые ящики пользователей?

подпись всегда приватным ключом (если чё)
др. момент - какой ключ, запилить юзерам единый ключ можно, но опять- причём здесь сервер
как упомянул @aameno2 - можно единым ключом подписывать всё, но смыла мало
на домине монтырить что-то с подписью исходящего - это за гранью разумного

 

[aameno2]

Два варианта вижу я)
1. Интермедиа и выдавайте пользователям серты. Дорого. Меня душила бы жаба.
2. 1 серт и на релее подписывайте все свои письма. Дешево и нет головняка.
Ну а делать это на домино, мне каа сова глобус и все такое. Конечно вы сделаете, но зачем эти проблемы моя не понимает.

 

[lmike]

Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.

установки куда?
в домину - НЕ НАДО ТАК ДЕЛАТЬ (уже ответили)

 

[rinsk]

Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.

Эммм Домино умеет играть в ГОСТ ?
SSL и s\mime - это разные вещи...

 

[Ficoos]

Эммм Домино умеет играть в ГОСТ ?
SSL и s\mime - это разные вещи...

Я знаю. В процедуре создания сертификата s\mime, есть такая штука как заверение собственного сертификата. Так вот там предусмотрен выбор заверителя из keyring.kyr. По-этому и привел SSL как пример. Про Гост - а причем тут Гост? Эти организации требуют работать с шифрованием и электронными подписями. Хотят оградить себя от спама. Есть еще выход = DKIM, но тут я еще не разбирался. Это просто сертификат, который утверждает, что автор отправил письмо от настоящего домена и письмо - не подделка. Но все сводится к доменным сертификатам, а не к собственно придуманным пользователями переписки.

 

[lmike]

DKIM, но тут я еще не разбирался.

LDN и mail gate, и проксирование, и DKIM ...

цели: - DKIM (SPF тоже, но ничего принципиального там нет) - IMAP с SSL - SMTP клиенты по SSL + серверный (через гейт) - по дороге - letsencrypt для nginx и HAproxy список средств: - Ubuntu 22.04 (потому что LTS) - proxmox mail gateway (PMG) - HAproxy - пакет с пакетами LXC - сам LDN 12.0.2...

codeby.net

Настройка DKIM на Domino и Backscatter на Proxmox Mail Gate

Заметочка по настройке. Если у вас Domino на правоверном Linux то для настройки DKIM в почте делаем так: openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024 openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного Идем в /root...

codeby.net

и как уже отмечалось - от спама это не спасает