《密信Mesign本地部署企业密钥管理系统解决方案.docx》由会员分享,可在线阅读,更多相关《密信Mesign本地部署企业密钥管理系统解决方案.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、密信Mesign本地部署企业密钥管理系统解决方案一、加密密钥与密钥管理系统简介S/MIME邮件签名和加密国际标准自1999年出台已经有二十多年了,但是由 于业界始终没有解决其易用性问题,使得S/MIME邮件加密一直没有得到普及 推广应用,一个最重要的原因是密钥管理太复杂,用户不仅需要知道如何在电 脑上生成私钥和如何从CA申请邮件证书,还需要知道如何把邮件证书安装到 各种设备的各种邮件客户端软件中,并且能正确配置使用,好不容易搞定了, 还需要先同对方交换公钥证书才能发加密邮件,这绝对是一项普通用户根本无 法完成的事情。必须解决这个头疼的问题,才能使得邮件加密得以普及应用。为了保证用户能随时随地非
2、常方便地使用任何设备在密信APP中能解密阅读已 加密邮件,而无需费时费力去导入证书来解密,密信研发团队在研究了多家国 际国内领先的云服务提供商提供的云密钥管理服务(KMS)后,决定采用在云端 实现密钥管理的方案,把传统的一张邮件证书拆分为签名证书和加密证书两张 证书,加密证书密钥在云端生成并安全托管在云端密信密钥管理系统中,用户 在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加 密邮件,无需用户费时费力导入邮件证书,完美实现全自动邮件加解密。而签 名证书由于有用户的身份信息,用户的签名行为具有法律效力,所以,我们把 签名证书设计为用户在本地设备上生成密钥,并在本地设备上加密
3、保存密钥。这就是为何用户看到密信APP在不同设备上的签名证书的序列号是不一样的原 因。 邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管 理方式,完美地解决了 S/MIME邮件加密服务的易用性问题,同时继承了 S/MIME邮件签名的不可假冒、不可伪装和不可抵赖的特点,使得S/MIME邮 件加密技术真正能实现零门槛无缝使用,用户无需关心证书在哪,只需像平常 一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。也就是说,密信APP之所以能做到全自动邮件加密,核心是彻底解决了密钥管 理问题,建设了密信密钥管理系统,为密信APP用户免费提供公共密钥管理服 务,方便用
4、户使用密信APP随时随地使用任何设备获取加密密钥用于解密已加 密邮件。并建设了全球公钥库系统,以便密信APP能在用户写邮件时自动获取 收件人的加密证书公钥,彻底实现自动发送加密邮件,而无需用户实现同收件 人交换加密证书公钥。二、密信企业密钥管理系统简介密信密钥管理系统作为一个公共服务系统免费为用户提供密钥管理服务,实现 了电子邮件的无感全自动加密,这属于密钥托管服务,用户的加密密钥托管在 密信密码基础设施中。而对于一些对加密密钥管控要求比拟高的单位,希望自 己在本地管理加密密钥实现完全自主可控,那么需要选择密信企业密钥管理系统 (EKMS),并部署在单位内网,实现单位员工邮件加密和文档加密的密
5、钥本地化 自主管控。单位用户希望部署自己的企业密钥管理系统,选择邮件签名服务单位专业版, 申请V3单位认证和完成单位邮箱域名验证,单位必须有企业邮局,每个员工 必须有单位域名邮箱,以便密信APP能自动识别本单位员工并自动从本单位部 署的企业密钥管理系统获取加密证书密钥。单位用户可选择密信企业密钥管理系统(硬件或软件),或者选择通过密信认证 的其他厂商密钥管理系统,每个使用密信APP实现邮件加密服务的邮箱都需要 一个密钥。同时,为了密钥管理的高度安全可靠,强烈建议用户至少有两台密 钥管理机或者配置两台高可靠的服务器部署企业密钥管理系统,实现双机热备 份,确保能可靠地随时为员工提供密钥获取服务。如
6、果单位选了文档数字签名服务,那么单位授权员工就可以免费使用文档数字签 名服务和文档加密服务,就可以使用从单位部署的企业密钥管理系统获取的加 密密钥来加密各种机密文档,并可以在加密时指定某些员工有权阅读,能有效 地保证单位内部机密文档信息安全,防止被非法外泄。三、企业密钥管理系统部署用户只需把密信密钥管理机(硬件)或者密钥管理系统(软件治口署在单位内网中, 并登录单位密信账户设置密钥管理系统的内网IP地址,那么所有员工使用密信 APP设置其单位邮箱时密信APP会根据用户设置的企业邮箱域名去检索企业密 钥管理系统的访问地址,就能连接到企业密钥管理系统去获取加密密钥,而不 是连接云端密信公共密钥管理
7、系统去获取加密密钥。一旦成功获取加密证书私 钥,就可以从密信默认CA系统获取加密证书和签名证书,员工就可以正常使 用邮件加密功能了。外地分部员工必须能通过VPN连接到密钥管理系统。请注 意:企业密钥管理系统不能访问互联网,仅限于单位员工电脑和移动设备在单位内网访问,以确保KM系统和密钥安全。企业KM部署示意图如下左图所ZJo证书签发系统公钥库fit时间戳8够t t自白MgAPPMbAPPIWSAPP|vpn|i r向向IbAPP IMbAPP前总部前fit砂CAti i自0fgAPPfgAPPt向ftflgAPP| VPN |1 F面向ftfigAPPftfigAPP前总部fl如上右图所示,对
8、于无法联互联网的内网单位用户,那么无法使用密信默认CA 为其员工颁发签名证书和加密证书,也无法访问密信全球公钥库,那么需要密信 企业CA系统,用于自动为员工签发签名证书和加密证书,并可用于密信APP 获取其他用户的加密证书公钥实现自动发送加密邮件。企业CA系统部署在企业单位内网,支持自动生成自签根证书和用于签发用户 证书的中级根证书,并由中级根证书为用户签发邮件签名证书和加密证书,支 持用户定义证书模板,用于签发统一主题信息的V4签名证书。密信企业CA 系统不仅能为用户签发邮件证书,还为提供公钥管理和查询服务,同时提供证 书撤消查询服务,满足用户在内网使用邮件证书的基本需求。推荐部署双CA 系
9、统,以便能不间断地为用户提供证书签发服务和证书公钥获取服务。如下列图所示为密信EKMS管理界面截图,用户购买KM后需要登录其单位账户 申请部署KM ,设置KM的部署在内网的IP地址,等待KM厂商安装部署并正 式启用企业KMO KM启用后,已经从密信公共KM获取加密密钥的密信APP 用户将重新从企业KM获取新的加密密钥,并不再使用原先从密信公共KM获 取的加密密钥,但会保存在密信APP中用于解密之前加密的邮件。而新用户那么 直接从企业KM获取加密密钥。KM列表+申请部署KMURI用户数量厂家状态8MeSign已部署成功0MeSign已申请,待厂商处理单位自主管理本地部署的已通过密信KM认证的密钥管理系统(KM)选择密信企业密钥管理系统,实现加密密钥的本地化自主管控。此加密密钥不 仅可以用于电子邮件加密服务,而且还可以用于文档加密服务,确保机密文档 的安全。内网用户选择密信企业CA系统,满足内网邮件全加密的基本证书需 求。