36.4  SSL šifrování

ActiveSync může pro komunikaci využívat protokol HTTP nebo jeho šifrovanou verzi HTTPS.

Upozornění

Z bezpečnostních důvodů důrazně doporučujeme používat pro synchronizaci výhradně protokol HTTPS, protože ActiveSync používá k ověření na serveru pouze nešifrované přihlašovací údaje uživatele.

Princip šifrování služeb spuštěných v Kerio MailServeru popisuje kapitola 16  Certifikáty serveru. Tento princip mimo jiné předpokládá instalaci validního SSL certifikátu do zařízení.

Validní certifikát musí obsahovat tyto náležitosti:

Jako validní certifikát lze pro šifrovanou komunikaci využít buď certifikát vydaný důvěryhodnou certifikační autoritou (ten je sice poměrně drahý, ale na druhou stranu s ním nejsou žádné problémy při instalaci), nebo certifikát vydaný interní certifikační autoritou, a nebo lze využít takzvaný self-signed certifikát vytvořený přímo v Kerio MailServeru (více vizte kapitolu 16  Certifikáty serveru).

V případě certifikátu od certifikační autority, kterou zařízení podporuje, není potřeba nic nastavovat ani instalovat. V případě interních nebo self-signed certifikátů je třeba do zařízení kořenový certifikát nainstalovat.

Windows Mobile potřebuje certifikát kódovaný v DER X.509 formátu. Soubor musí mít příponu .cer. Nejsnadnějším způsobem, jak certifikát do zařízení nainstalovat, je stáhnout ho pomocí prohlížeče v zařízení.

Kerio MailServer svůj certifikát ve zmiňovaném formátu poskytuje na URL adrese http://nazev_serveru/server.cer

V zařízeních s Windows Mobile 2002 lze pro komunikaci použít pouze protokol HTTPS. Nešifrovaná verze není vůbec podporována. Navíc je třeba, aby Kerio MailServer používal k ověření certifikát ověřený certifikační autoritou. K tomu lze použít buď certifikát ověřený podporovanou komerční certifikační autoritou (podporovány jsou certifikáty od certifikačních autorit VeriSign, CyberTrust, Thawte a Entrust) nebo je třeba do zařízení nainstalovat kořenový certifikát autority, která vydala certifikát pro Kerio MailServer (více vizte sekci Povolení instalace kořenového certifikátu ve WM 2002).

Upozornění

Do Windows Mobile 2002 nelze nainstalovat self-signed certifikát Kerio MailServeru. Musí to být certifikát kořenový, ověřený alespoň interní certifikační autoritou.

Od verze Windows Mobile 2003 nastavení aplikace ActiveSync obsahuje volbu pro zapnutí/vypnutí SSL šifrování. Použití SSL šifrování však důrazně doporučujeme, protože synchronizace pro ověřování uživatelů používá pouze metodu basic authentication (přihlašovací údaje jsou přenášeny nešifrovaně a je možné je odchytit a přečíst).

Od verze Windows Mobile 2003 je instalace self-signed certifikátu do zařízení poměrně jednoduchá. Postup obsahuje sekce Instalace kořenového self-signed certifikátu Kerio MailServeru.

Upozornění

Bezpečnostní pravidla v zařízeních typu Smartphone s Windows Mobile 2005 zakazují instalaci nových kořenových certifikátů. V takových případech je nutné nejprve povolit instalaci kořenových certifikátů v registru zařízení (postup vizte níže).

Instalace self-signed certifikátu Kerio MailServeru

Instalaci self-signed certifikátu Kerio MailServeru lze provést následovně:

  1. V případě, že chceme certifikát nainstalovat do zařízení Windows Mobile 2002 nebo do Windows Mobile 5.0 Smartphone Edition, je třeba se nejprve řídit návody v dalších sekcích Povolení instalace kořenového certifikátu ve WM 2002 a Povolení instalace kořenového certifikátu ve WM 5.0 Smartphone Edition. V ostatních případech začneme instalaci certifikátu bodem 2 tohoto návodu.

  2. V mobilním zařízení spustíme internetový prohlížeč.

  3. Do adresního řádku zadáme adresu serveru ve tvaru

    http://nazev_serveru/server.cer

    (například http://mail.firma.cz/server.cer)

    nebo

    https://nazev_serveru/server.cer

    (například https://mail.firma.cz/server.cer)

  4. Prohlížeč se zeptá, zda chceme certifikát stáhnout do zařízení. Tlačítkem OK stažení certifikátu potvrdíme.

  5. Dále se zařízení zeptá, zda chceme certifikát nainstalovat a používat jej. I toto okno potvrdíme tlačítkem OK.

Nyní je certifikát nainstalován.

Povolení instalace kořenového certifikátu ve WM 2002

Pro přidání kořenového certifikátu vydaného certifikační autoritou, kterou zařízení standardně nepodporuje je potřeba provést následující:

  1. Stáhneme aplikaci AddRootCert [409KB] a rozbalíme ji.

  2. Soubor addrootcert.exe nakopírujeme do zařízení.

  3. Do zařízení zkopírujeme certifikát serveru (certifikát musí být kódovaný v DER X.509 formátu a musí mít koncovku .cer).

  4. V zařízení klikneme na soubor addrootcert.exe a spustíme ho.

  5. Otevře se aplikace, ve které certifikát nainstalujeme.

  6. Zařízení restartujeme.

Povolení instalace kořenového certifikátu ve WM 5.0 Smartphone Edition

Zařízení typu Smartphone s operačním systémem Windows Mobile 5.0 a Windows Mobile 5.0 AKU2 mají jako součást své bezpečnostní politiky zakázáno instalovat kořenové certifikáty, které nebyly vydány důvěryhodnými certifikačními autoritami.

Abychom mohli do zařízení nainstalovat kořenový certifikát od autority, kterou dané zařízení nepodporuje (certifikát vydaný interní certifikační autoritou nebo self-signed certifikát Kerio MailServeru), je potřeba do mobilního zařízení nainstalovat některý z editorů registrů mobilních zařízení a pomocí tohoto editoru instalaci kořenového certifikátu povolit. Jednou z možností může být například aplikace regeditSTG.zip (24.01 KB).

Pomocí tohoto editoru registrů provedeme následující změnu:

  1. Vyhledáme a stáhneme aplikaci regeditSTG.zip (je k dispozici zdarma) a rozbalíme ji.

  2. Přesuneme editor do mobilního telefonu (například pomocí desktopové aplikace MS ActiveSync).

    Upozornění

    Soubor je třeba přesunout skutečně do telefonu a ne na paměťovou kartu.

  3. Na soubor v telefonu klikneme a spustíme ho.

  4. Spustíme regeditSTG.exe a najdeme uzel HKLM\Security\Policies\Policies

  5. Změníme tři následující položky registru:

    • 00001001 na ze 2 na 1

    • 00001005 ze 16 na 40

    • 00001017 ze 128 na 144

  6. Nyní bude možné certifikát bez problémů stáhnout ze serveru a nainstalovat jej podle návodu v sekci 36.4  SSL šifrování.

    Upozornění

    Takzvaný „tvrdý reset“ zařízení změnu registru vymaže a je potřeba ji provést znovu.

SSL šifrování v zařízeních Sony Ericsson

Instalace self-signed certifikátu Kerio MailServeru způsobí, že zařízení bude vyžadovat souhlas s každou synchronizací se serverem:

[Security Information       ?]
The certificate could not be
verified.
Select 'Certificate details' to get
more information about the
certificate.
Do you want to accept the
certificate and proceed?
[ Yes ]  [  No  ]  [ Details ]

Z tohoto důvodu doporučujeme instalovat do zařízení certifikát podepsaný důvěryhodnou certifikační autoritou.