• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Несколько доменных имен и SSL

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.
SSL сертификат и s/mime - это перпендикулярно
s/mime может быть встроен в ИД, в хэлпе есть
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
SSL сертификат и s/mime - это перпендикулярно
s/mime может быть встроен в ИД, в хэлпе есть
Это понятно. Просто для тревелера у нас на сервере установлен SSL, а теперь надо будет почту подписывать и шифровать некоторым пользователям. Вот я и думаю, могу ли я для одного домена зарегистрировать интернет сертификат из связки ключей в SSL, что бы выдать сертификаты клиентам для шифрования и подписи почты? Или надо все-таки покупать S/MIME для каждого домена, для которых получает почту сервер?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Это понятно. Просто для тревелера у нас на сервере установлен SSL, а теперь надо будет почту подписывать и шифровать некоторым пользователям. Вот я и думаю, могу ли я для одного домена зарегистрировать интернет сертификат из связки ключей в SSL, что бы выдать сертификаты клиентам для шифрования и подписи почты? Или надо все-таки покупать S/MIME для каждого домена, для которых получает почту сервер?
в случае с мобильными устройствами - оно вовсе отвязано
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
в случае с мобильными устройствами - оно вовсе отвязано
Нет! это надо для жирного клиента. Что бы переписываться, например со страховой компанией, внешний СЭД. Это НЕ для мобильных приложений. Почитал мануал книжки по администрированию Domino... очень уж длинно и запутанно все это делается...
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Добрый день коллеги!
Собственно вот предистория: Есть документ "Домены" на сервере Domino. В него записаны все доменные имена, на которые наш сервер должен получать почту. Их там с десяток.
Сейчас вопрос стоит так: Есть внешняя контора, которая хочет с нами вести переписку с шифрованием письма (там шифруется только текст письма и вложения) и обязательной подписью письма. Естественно, что это касается всех наших доменов.
Возможно ли на каждый домен получить SSL сертификат, S/Mime сетрификат, и как их установить и настроить на все домены на одном почтовом сервере Domino? Еще подразумевается, что на этом же сервере будут интернет сертификаты для каждого доменного имени из списка доменов в документе "Домены" из клиента Lotus Administrator.
Если про https://
То по моему сейчас домино поддерживает SPN и на 1 IP адресе можно несколько доменов HTTPS
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Собственно разобрался с доменами и с s/mime. Теперь появился новый вопрос: Есть лотусовый сервер, который стоит как шлюз отправки сообщений в интернет и есть лотусовый сервер, на котором хранятся почтовые базы пользователей. Вот, что бы почта была шифрованая и подписанная ключами s/mime на каком сервере надо регистрировать интернет сертификат и присовокупить keyfile.kyr? На шлюзе или на том, где хранятся почтовые базы пользователей? Адресные книги реплицированы между серверами.
 
Последнее редактирование:

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Что, нет полезных советов по последнему вопросу?
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Приватный ключ - не подходит. Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime. На каком сервере должны быть установлен сертификат keyring с ключами s\mime: на шлюзовом сервере или на сервере, где установлены почтовые ящики пользователей?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Доверять s\mime лотусовому ? Имхо в РФ это баловство )))
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
109
Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime
Но ведь смысл подписи именно отправителем, т.е. пользователем. Не?
И потом, если у вас не самоподписанные серты то кой еси разница? Новый серт, ца тот же, доверие есть.
Вот если бы вы сказали честно. Я хочу экономить и не хочу покупать интермедиа ца - это все имеет смысл.
В этом случае, если вам интересно, я бы подписывал на православном релее аля постфикс. Если конечно нет задачи создать себе геморрой)
Хотя в общем эти подписи баловство)
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Но ведь смысл подписи именно отправителем, т.е. пользователем. Не?
И потом, если у вас не самоподписанные серты то кой еси разница? Новый серт, ца тот же, доверие есть.
Вот если бы вы сказали честно. Я хочу экономить и не хочу покупать интермедиа ца - это все имеет смысл.
В этом случае, если вам интересно, я бы подписывал на православном релее аля постфикс. Если конечно нет задачи создать себе геморрой)
Хотя в общем эти подписи баловство)
Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Приватный ключ - не подходит. Уволится человек, как потом объяснить клиенту, что другой переписчик выступает от лица нашей организации? Вопрос, как и раньше, про s\mime. На каком сервере должны быть установлен сертификат keyring с ключами s\mime: на шлюзовом сервере или на сервере, где установлены почтовые ящики пользователей?
подпись всегда приватным ключом ;) (если чё)
др. момент - какой ключ, запилить юзерам единый ключ можно, но опять- причём здесь сервер
как упомянул @aameno2 - можно единым ключом подписывать всё, но смыла мало
на домине монтырить что-то с подписью исходящего - это за гранью разумного :)
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
109
Два варианта вижу я)
1. Интермедиа и выдавайте пользователям серты. Дорого. Меня душила бы жаба.
2. 1 серт и на релее подписывайте все свои письма. Дешево и нет головняка.
Ну а делать это на домино, мне каа сова глобус и все такое. Конечно вы сделаете, но зачем эти проблемы моя не понимает.
 
  • Нравится
Реакции: lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.
установки куда?
в домину - НЕ НАДО ТАК ДЕЛАТЬ (уже ответили)
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Налоговая, ФССП, Нотариальные конторы - это требование ТЗ использовать s\mime, а не моя прихоть. Естественно, сертификат будет покупной, который заверит наш. Есть доменный сертификат, который уже установлен и работает как https. ВОт я и интересуюсь установкой покупного сертификата s\mime.
Эммм Домино умеет играть в ГОСТ ?:)
SSL и s\mime - это разные вещи...
 

Ficoos

Lotus Team
15.03.2016
129
2
BIT
65
Эммм Домино умеет играть в ГОСТ ?:)
SSL и s\mime - это разные вещи...
Я знаю. В процедуре создания сертификата s\mime, есть такая штука как заверение собственного сертификата. Так вот там предусмотрен выбор заверителя из keyring.kyr. По-этому и привел SSL как пример. Про Гост - а причем тут Гост? Эти организации требуют работать с шифрованием и электронными подписями. Хотят оградить себя от спама. Есть еще выход = DKIM, но тут я еще не разбирался. Это просто сертификат, который утверждает, что автор отправил письмо от настоящего домена и письмо - не подделка. Но все сводится к доменным сертификатам, а не к собственно придуманным пользователями переписки.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
DKIM, но тут я еще не разбирался.
и как уже отмечалось - от спама это не спасает
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!