Kapitola 16  Certifikáty serveru

Obsah

16.1  Certifikát Kerio MailServeru
16.2  Instalace certifikátu na klientské stanice

Princip bezpečných služeb Kerio MailServeru (služby šifrované SSL — např. HTTPS, IMAPS, POP3S, atd.) spočívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby jej nebylo možné odposlechnout a zneužít přenášených informací. Šifrovací protokol SSL, který je k tomuto účelu běžně využíván, používá nejprve asymetrickou šifru pro výměnu symetrického šifrovacího klíče, kterým se pak šifrují vlastní přenášená data.

Asymetrická šifra používá dva klíče: veřejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veřejný (šifrovací) klíč má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíč má k dispozici pouze server a musí zůstat utajen. Klient ale také potřebuje mít možnost, jak si ověřit identitu serveru (zda je to skutečně on, zda se za něj pouze někdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobě obsahuje veřejný klíč serveru, jméno serveru, dobu platnosti a některé další údaje. Aby byla zaručena pravost certifikátu, musí být ověřen a podepsán třetí stranou, tzv. certifikační autoritou.

Komunikace mezi klientem a serverem pak vypadá následovně: Klient vygeneruje symetrický klíč a zašifruje ho veřejným klíčem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíčem (který má jen on) dešifruje. Tento postup zaručuje, že symetrický klíč znají jen oni dva a nikdo jiný.

Poznámka

Chceme-li Kerio MailServeru zajistit vysokou bezpečnost, povolíme komunikaci pouze přes SSL spojení. Toto můžeme provést buď zastavením všech nešifrovaných služeb (vizte kapitolu 6  Služby) nebo nastavením bezpečnostní politiky serveru (vizte kapitolu 12.6  Upřesňující nastavení). Po nastavení serveru je nutné instalovat certifikát (může být i self-signed) nebo certifikáty na klientské stanice všech uživatelů, kteří využívají služeb Kerio MailServeru.