Назначение
Программа предназначена для управления сертификатами SSL/TLS, которые используются АПФ TcpFoss при соединении почтовых серверов и TcpFoss-client при подключении клиента к почтовому серверу.
Запуск программы
После инсталляции сервера приложений FossDocMail программа TcpFossCertMgr доступна к запуску из стартового меню компьютера — Менеджер сертификатов или для клиента может быть запущена из папки …\tcpfoss\TcpFossCertMgr.exe
Описание работы программы
Каждый TcpApf хранит копии SSL сертификатов своих клиентов. Во время установки соединения клиент передает на сервер свой SSL сертификат. Аутентификация клиента будет успешной, если этот сертификат не просрочен и
- сертификат клиента совпадает с копией сертификата, которая хранится на сервере;
- либо сертификат клиента подписан копией сертификата, которая хранится на сервере;
- или на сервере нет копии сертификата клиента (клиент первый раз подключается к серверу)
Аналогично на клиенте хранится копия SSL сертификата сервера. Во время установки соединения сервер передает клиенту свой SSL сертификат. Аутентификация сервера будет успешной, если этот сертификат не просрочен и
- сертификат сервера совпадает с копией сертификата, которая хранится на клиенте;
- либо сертификат сервера подписан копией сертификата, которая хранится на клиенте;
- или на клиенте нет копии сертификата клиента (клиент первый раз подключается к серверу)
Перед каждым обменом клиент и сервер проверяет наличие своего SSL сертификата с закрытым ключом. Если сертификат не найден, то он автоматически генерируется и сохраняется в хранилище ключей Windows. TcpFoss хранит ключи в хранилище CurrentUser\TcpFoss Trusted, TcpApf — в LocalMachine\TcpApf Trusted.
После успешной аутентификации, клиент и сервер сохраняют копии SSL сертификатов друг друга, а канал связи шифруется с помощью SSL сертификата сервера.
Меню программы
Главное окно программы выглядит следующим образом:
Меню — главное меню программы
Панель инструментов — обеспечивает доступ к ключевым функциям программы
Приватный сертификат — таким значком отображается сертификат с закрытым ключом. Этот сертификат создается на локальном компьютере.
Публичный сертификат, которому нет доверия- таким значком отображаются публичные сертификаты абонентов, подлинность которых еще не подтверждена.
Доверенный публичный сертификат- таким значком отображаются публичные сертификаты абонентов, подлинность которых подтверждена
Кнопка Открыть- открыть сертификат для просмотра средствами Windows
Кнопка Создать — при компрометации своего приватного сертификата необходимо создать новый самоподписанный сертификат с закрытым ключом. После создания нового сертификата обмен с данным узлом будет невозможен, до тех пор, пока удаленные абоненты не проверят подлинность нового сертификата и не выполнят действие Доверить
Кнопка Заменить — если срок действия своего приватного сертификата истек или истекает необходимо заменить сертификат новым, подписанный текущим сертификатом. После замены обмен с данным узлом будет успешно продолжен.
Кнопка Доверить — при неуспешной аутентификации сертификат абонента отображается значком . Оператор узла должен сравнить отпечаток этого сертификата с отпечатком сертификата хранящегося на стороне абонента. Сравнить отпечатки можно любым удобным способом: по телефону, электронной почте, на web сайте абонента и т.д. Если отпечатки совпадают, то оператор может пометить этот сертификат как доверенный.
Кнопка Удалить- удалить сертификат. После удаления приватного сертификата, новый сертификат будет сгенерирован автоматически при следующей попытке обмене. При этом номер версии сертификата будет сброшен в 1. В остальном действие Удалить будет аналогично действию создать. При удалении публичного сертификата TcpFoss/TcpApf будет доверять любому сертификату, полученному от абонента, при первом обмене.
Кнопка Обновить- обновить список сертификатов