O MS Windows possui um bom mecanismo para criptografar e assinar emails com certificados de usuário em cartões inteligentes (tokens). No entanto, nem sempre é claro como trabalhar com isso em uma infraestrutura de TI híbrida, quando parte das estações de trabalho, ou mesmo todas, trabalha sob o controle do sistema operacional com o kernel do Linux.
O problema é que, em distribuições Linux prontas para uso, como regra, os programas não tendem a funcionar com a mídia principal, no nosso caso com cartões inteligentes. No entanto, esse problema sempre pode ser resolvido instalando os módulos apropriados, que estão nos repositórios padrão e configurando-os.
Neste artigo, descreveremos o processo de criptografia de mensagens com um certificado no token JaCarta desenvolvido por Aladdin R.D., no cliente de correio Evolution, na distribuição Debian, e demonstraremos a capacidade de criptografar mensagens de email em uma infraestrutura de TI híbrida.
Princípio geral da decisão
Usando o comando modutil, registramos a biblioteca PKCS11 para o cliente de email.
Depois disso, o certificado no JaCarta ficará visível na lista de certificados pessoais nas configurações.
A seguir está o certificado para operações sMIME.
7 etapas para criptografar mensagens
Criptografia de certificado com o token JaCarta no sistema Debian e no cliente de correio Evolution:
1. Instale o pacote libnss3-tools:
# apt install libnss3-tools
2. Após fechar o Evolution, registre o módulo:
modutil -add "JaCarta" -libfile /usr/lib/libjcPKCS11-2.so -dbdir ~/.local/share/evolution;/
3. Conecte o JaCarta, inicie o Evolution (ao inserir as configurações, um código PIN deve ser solicitado).
4. Nas configurações da conta, na seção Segurança, selecione o certificado para criptografia (certificado de criptografia):
5. No catálogo de endereços, selecione o destinatário.
6. Abra as propriedades e, na seção "Certificados", indique a parte aberta do certificado deste usuário a partir do arquivo * .cer (esse arquivo pode ser exportado por meios padrão, formato DER).
7. Ao enviar correio nas opções, especifique criptografia S / MIME (Opções → Criptografar usando S / MIME).
Se o destinatário tiver um certificado no catálogo de endereços, a mensagem será criptografada e enviada com sucesso, e o recebimento e a leitura do correio criptografado estarão disponíveis.
Conclusão
Da mesma forma, podemos configurar a assinatura das mensagens. Para fazer isso, você precisará adicionar o certificado de CA que emitiu o certificado para o usuário no lado do remetente e do destinatário:
Obrigado pela atenção!