X.509 (fișier cu extensia * .cer) - format de certificat, care, în plus față de informațiile generale (versiune, numărul de serie, algoritm de semnătură, informațiile editorului, data de expirare, informații despre proprietar, amprenta electronică) conține cheia publică. Îi trimitem altor utilizatori cu care vrem să schimbăm mesaje criptate.
PKCS # 12 (fișierul cu extensia * .pfx) este singurul format al certificatului care, pe lângă informațiile generale, poate conține nu numai o cheie deschisă, ci și o cheie privată. Cu aceasta, vom decripta mesajele criptate de alți utilizatori folosind cheia noastră publică și, de asemenea, punem semnătura noastră digitală.
Certificatele vor fi create folosind programul de criptare CyberSafe. care poate funcționa ca un centru de certificare. Certificatul rădăcină al autorității de certificare CyberSafe este adăugat automat la magazinul de încredere din magazinul Windows, certificatul PKCS # 12 va fi stocat în secțiunea personală. și X.509 în secțiunea Alți utilizatori.
În primul rând, vom crea un certificat personal. conținând certificatele de mai sus, cheile publice și private, precum și alte informații. Rulați programul, accesați fila Chei și certificate. selectați Creare. completați câmpurile obligatorii și faceți clic pe Următorul:
Acum exportim certificatele de care avem nevoie pentru a lucra cu Outook în fișiere separate:
Certificatele din CyberSafe sunt create pe baza bibliotecii OpenSSL, codul pentru crearea certificatului este prezentat mai jos:
procedură TOpenSSL.CreateSignedCert (const NumeleName: String; OutFiles: TStringList;
const Parola: String;
ValidDays: Integer; KeySize: Integer; const ExtendedKeyUsage: String;
const NumeName, Email, Organizație, OrganizationalUnit, Țară: String;
const CAFileSpec, CAPFXFileSpec, CAPrivateKeyPassword: String;
ARandomFileSpec: String = »;
ProgressProc: TProgressProc = zero; LogMsgProc: TLogMsgProc = nil);
var
TmpPrivateKeyFileSpec, TmpPublicKeyFileSpec: String;
TmpCerFileSpec, TmpPfxFileSpec, TmpCsrFileSpec, TmpCASerialFileSpec, TmpExtFileSpec, TmpPemFileSpec: String;
TmpCAPrivateKeyFileSpec: String;
Subj: String;
TempDir: String;
Aborat: Boolean;
WasError: Boolean;
OutPublicKeyFileSpec: Șir;
începe
WasError: = Adevărat;
TempDir: = GetTempDir;
încerca
CheckIsFileExists (CAFileSpec);
// Extrage cheia privată din certificatul rădăcină
TmpCAPrivateKeyFileSpec: = tempdir + ChangeFileExt (ExtractFileName (CAPFXFileSpec) ») + '.privateKey.pem';
ExportPrivateKeyFromPfx (CAPFXFileSpec, TmpCAPrivateKeyFileSpec, CAPrivateKeyPassword);
// Creăm toate fișierele din directorul temporar și numai după crearea cu succes a tuturor - // ne transferăm la locul de stocare permanent
TmpPrivateKeyFileSpec: = TempDir + NumeFile + '.privateKey.pem';
TmpPublicKeyFileSpec: = TempDir + NumeFile + '.publicKey.pem';
TmpCerFileSpec: = TempDir + nume de fișier + '.cer';
TmpPemFileSpec: = TempDir + nume de fișier + '.pem';
TmpPfxFileSpec: = TempDir + nume de fișier + '.pfx';
TmpCsrFileSpec: = TempDir + NumeFile + '.csr';
TmpCASerialFileSpec: = TempDir + NumeFile + '.srl';
Subj: = GetSubj (nume, nume, organizație, organizație, țară);
Aborat: = Fals;
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 4, Aborted, Format ('% s (.% S) ...', [StKeysGenerate, KeySize, StBit]));
dacă este Aborat atunci
Exit;
CreatePrivateKey (TmpPrivateKeyFileSpec, TmpPublicKeyFileSpec, KeySize, ARandomFileSpec);
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 5, Aborat, Format ('% s ...', [StGenerateCertificate])));
dacă este Aborat atunci
Exit;
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 6, Aborat, Format ('% s ...', [StCreateCertificateRequest]));
// Creați o interogare - .csr
RunOpenSSLConsole (Format (
'Req -new -key "% s" -out "% s" - zile. -subj% s ',
[TmpPrivateKeyFileSpec, TmpCsrFileSpec, ValidDays, Subj]
), Adevărat, Nul, Nul);
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 7, Aborat, Format ('% s ...', [StCreateExtensionsFile])));
//www.openssl.org/docs/apps/x509v3_config.html
TmpExtFileSpec: = StrToFile (
// 'keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyCertSign' +
'KeyUsage = digitalSignature, keyEncipherment' +
iif (ExtendedKeyUsage <> ", # 13 # 10'extendedKeyUsage = '+ ExtendedKeyUsage"),
TempDir + Numele fișierului + '.extensions.cfg'
);
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 8, Aborted, Format ('% s ...', [StCreateSignedCertificate])));
// Pe baza interogării, vom crea un certificat semnat de certificatul rădăcină
RunOpenSSLConsole (Format (
'X509 -req-zile. -passin treci:% s -in "% s" -CAform DER -CA "% s" -CAkey "% s" -CAserial "% s" -out -CAcreateserial "% s" DER -outform -extfile "% s" '
[ValidDays, parola, TmpCsrFileSpec, CAFileSpec, TmpCAPrivateKeyFileSpec, TmpCASerialFileSpec, TmpCerFileSpec, TmpExtFileSpec]
), Fals, Nul, Nul);
// Convertește cer => pem pentru următoarea comandă de export către pfx
RunOpenSSLConsole (Format (
'X509 -in'% s '-informați DER -out "% S" -reclamarea PEM ",
[TmpCerFileSpec, TmpPemFileSpec]
), Fals, Nul, Nul);
dacă este atribuită (ProgressProc) atunci
ProgressProc (13, 10, Aborat, Format ('% s ...', [StCreatePFX])));
/ / Facem pfx din pem-ul primit și cheile
RunOpenSSLConsole (Format (
'Pkcs12 -password pass:% s -export -in "% s" -inchidere "% s" -name "% s" -out "% s"
[Parola, TmpPemFileSpec, TmpPrivateKeyFileSpec, FileName, TmpPfxFileSpec]
), Fals, Nul, Nul);
OutPublicKeyFileSpec: = TmpPublicKeyFileSpec + '.signed';
ExportPublicKeyFromPfx (TmpPfxFileSpec, OutPublicKeyFileSpec, Parola);
// Și rezultatul este adăugat la lista de fișiere
OutFiles.Add (TmpCerFileSpec);
OutFiles.Add (TmpPfxFileSpec);
OutFiles.Add (TmpPrivateKeyFileSpec);
OutFiles.Add (TmpPublicKeyFileSpec);
OutFiles.Add (OutPublicKeyFileSpec);
WasError: = False;
în cele din urmă
// Ștergeți fișierele temporare
dacă era WasError atunci
începe
CheckDeleteFile (TmpCerFileSpec);
CheckDeleteFile (TmpPfxFileSpec);
CheckDeleteFile (TmpPrivateKeyFileSpec);
CheckDeleteFile (TmpPublicKeyFileSpec);
CheckDeleteFile (OutPublicKeyFileSpec);
se încheie;
CheckDeleteFile (TmpCsrFileSpec);
CheckDeleteFile (TmpCASerialFileSpec);
CheckDeleteFile (TmpExtFileSpec);
CheckDeleteFile (TmpPemFileSpec);
CheckDeleteFile (TmpCAPrivateKeyFileSpec);
se încheie;
se încheie;
Instalați certificatul exportat în format PKCS # 12 în magazinul Windows. Pentru aceasta, faceți dublu clic pe fișierul pfx și urmați instrucțiunile din Expertul de import al certificatelor. Deoarece acest certificat conține cheia dvs. privată, în timpul procesului de import va fi necesar să introduceți parola care a fost specificată atunci când a fost creată.
- Criptați conținutul și atașamentele mesajelor trimise
- Adăugați semnătura digitală la mesajele trimise
Acum, din lista certificatelor instalate în depozit, trebuie să selectați cea care va fi utilizată pentru criptarea și crearea semnăturii digitale. Pentru a face acest lucru, faceți clic aici Opțiuni ...> Selectați și selectați certificatul:
În acest sens, în principiu, totul :). Cu toate acestea, hai să ne asigurăm că totul funcționează corect pentru noi și vom efectua verificarea de criptare "pe noi înșine".
În Windows Explorer, găsim certificatul nostru în format * .cer
Trimitem scrisoarea. Trecem în Inbox și găsim mesajul trimis de noi. Este criptat, după cum reiese din simbolul cu o blocare albastră în colțul din stânga sus. Faceți clic pe ea cu mouse-ul pentru a decripta automat și deschide-l.
Dacă scrisoarea trimisă nu este afișată în căsuța de e-mail, faceți clic pe fila Trimitere și primire și faceți clic pe Actualizare folder.
Verificarea funcției de criptare "pe ea însăși" este finalizată.
Acum trimitem un mesaj, certificat prin semnătura noastră digitală, altor utilizatori și primim mesajele lor semnate. Acest lucru ne va permite să schimbăm cheile publice între ele, deoarece scrisoarea semnată conține cheia publică.
Dacă nu aveți încă un certificat (și cheia publică a corespondentului), atunci când trimiteți primul mesaj, funcția de criptare ar trebui dezactivată, în caz contrar, Outlook nu va putea să o cripteze și va da o eroare. Pentru a dezactiva funcția de criptare, lăsând funcția de semnătură digitală activată, în fila Setări:
Dacă cheia publică este descărcată de pe un server care nu are încredere sau o primiți prin e-mail, nu puteți fi sigur de autenticitatea unei astfel de chei. Poate că acest atacator ți-a trimis cheia "falsă" în locul cheii prietenului tău. Apoi, el va putea citi toate mesajele criptate pe care le trimiteți prietenului dvs., dar prietenul dvs. nu poate face acest lucru.
Articole similare
-
Semnătura digitală și criptarea poștei în Outlook 2018-2018 - comunicații unificate
-
Cum se configurează criptarea mesajelor în Microsoft Outlook, microsoft office pentru femei
Trimiteți-le prietenilor: