首頁>解決方案>本地部署企業公鑰管理系統實現自主管理加密公鑰

本地部署企業公鑰管理系統實現自主管理加密公鑰本地管理加密公鑰,滿足自主可控要求!

一、加密公鑰與公鑰管理系統簡介

S/MIME郵件簽名和加密國際標準自1999年出臺已經有二十多年了,但是由於業界始終沒有解決其易用性問題,使得S/MIME郵件加密一直沒有得到普及推廣應用,一個最重要的原因是公鑰管理太複雜,使用者不僅需要知道如何在電腦上生成私密公鑰和如何從CA申請郵件證書,還需要知道如何把郵件證書安裝到各種設備的各種郵件用戶端軟體中,並且能正確配置使用,好不容易搞定了,還需要先同對方交換公鑰證書才能發加密郵件,這絕對是一項普通用戶根本無法完成的事情。必須解決這個頭疼的問題,才能使得郵件加密得以普及應用。

為了保證用戶能隨時隨地非常方便地使用任何設備在密信App中能解密閱讀已加密郵件,而無需費時費力去導入證書來解密,密信研發團隊在研究了多家國際國內領先的雲服務提供者提供的雲公鑰管理服務(KMS)後,決定採用在雲端實現公鑰管理的方案,把傳統的一張郵件證書拆分為簽章憑證和加密證書兩張證書,加密證書公鑰在雲端生成並安全託管在雲端密信公鑰管理系統中,使用者在完成郵箱控制權驗證後就可以自動從雲端取到加密證書公鑰來自動解密已加密郵件,無需用戶費時費力導入郵件證書,完美實現全自動郵件加解密。而簽章憑證由於有使用者的身份資訊,使用者的簽名行為具有法律效力,所以,我們把簽章憑證設計為使用者在本地設備上生成公鑰,並在本地設備上加密保存公鑰。這就是為何使用者看到密信App在不同設備上的簽章憑證的序號是不一樣的原因。

郵件證書拆分成兩張證書並根據簽名和加密的兩個不同用途採用不同的公鑰管理方式,完美地解決了S/MIME郵件加密服務的易用性問題,同時繼承了S/MIME郵件簽名的不可假冒、不可偽裝和不可抵賴的特點,使得S/MIME郵件加密技術真正能實現零門檻無縫使用,用戶無需關心證書在哪,只需像平常一樣寫好郵件點擊發送即可自動發送加密郵件和自動接收和解密已加密郵件。

也就是說,密信App之所以能做到全自動郵件加密,核心是徹底解決了公鑰管理問題,建設了密信公鑰管理系統,為密信App用戶免費提供公共公鑰管理服務,方便使用者使用密信App隨時隨地使用任何設備獲取加密公鑰用於解密已加密郵件。並建設了全球公鑰庫系統,以便密信App能在用戶寫郵件時自動獲取收件人的加密證書公鑰,徹底實現自動發送加密郵件,而無需用戶實現同收件人交換加密證書公鑰。

二、密信企業公鑰管理系統簡介

密信公鑰管理系統作為一個公共服務系統免費為使用者提供公鑰管理服務,實現了電子郵件的無感全自動加密,這屬於公鑰託管服務,使用者的加密公鑰託管在密信密碼基礎設施中。而對於一些對加密公鑰管控要求比較高的單位,希望自己在本地管理加密公鑰實現完全自主可控,則可以選購密信企業公鑰管理系統(EKMS,簡稱企業KM),並部署在單位內網,實現單位員工郵件加密的公鑰當地語系化自主管控。

單位使用者希望部署自己的企業公鑰管理系統,必須同時選購KM定制服務,此服務按年按員工使用加密公鑰的郵箱數量收費,包括定制密信App定向訪問企業KM,僅從企業KM獲取加密公鑰,為每個單位員工自動配置加密證書和簽章憑證。使用者還需要根據業務需要選擇使用免費版服務或選擇收費的入門版專業版信創版服務,為使用者自動配置不同身份認證級別和信任級別的簽章憑證和加密證書。也就是說,同標準的4 個版本服務不同的是:用戶的加密公鑰從企業KM獲取,而不是從密信公共KM獲取,所以除了需要選用或選購標準版服務外,還需要購買KM定制服務。

單位使用者可選購密信企業公鑰管理系統(硬體或軟體),每個使用密信App實現郵件加密服務的郵箱都需要一個或多個公鑰(每3年換一個)。同時,為了公鑰管理的高度安全可靠,強烈建議用戶至少購買兩台公鑰管理機或者配置兩台高可靠的伺服器部署企業公鑰管理系統,實現雙機熱備份,確保能可靠地隨時為員工提供公鑰獲取服務。

三、企業公鑰管理系統部署

使用者只需把密信公鑰管理機(硬體)或者公鑰管理系統(軟體)部署在單位內網中,並登錄單位密信帳戶設置企業公鑰管理系統的內網IP位址,同時必須驗證單位郵箱功能變數名稱,這樣,所有員工使用密信App設置其單位郵箱時密信App會根據使用者設置的企業郵箱功能變數名稱去檢索企業公鑰管理系統的訪問位址,正確連接到本單位的企業公鑰管理系統去獲取加密公鑰,而不是連接雲端密信公共公鑰管理系統去獲取加密公鑰。一旦成功獲取加密證書私密公鑰,就可以從密信預設CA系統獲取加密證書和簽章憑證,員工就可以正常使用郵件加密功能了。外地分部員工必須能通過VPN連接到公鑰管理系統。請注意:企業公鑰管理系統不能訪問互聯網,僅限於單位員工電腦和移動設備在單位內網訪問,以確保KM系統和公鑰安全。企業KM部署示意圖如下左圖所示。

  

如上右圖所示,對於無法訪問聯互聯網的內網單位使用者,則無法使用密信默認CA為其員工頒發簽章憑證和加密證書,也無法訪問密信全球公鑰庫,則需要另購買密信企業CA系統,用於自動為員工簽發簽章憑證和加密證書,並可用於密信App獲取其他用戶的加密證書公鑰實現自動發送加密郵件。

企業CA系統部署在企業單位內網,支援自動生成自簽根證書和用於簽發用戶證書的中級根證書,並由中級根證書為用戶簽發郵件簽章憑證和加密證書,支持用戶定義憑證範本,用於簽發統一主題資訊的單位員工證書或單位郵件證書。密信企業CA系統不僅能為使用者簽發郵件證書,還為提供公鑰管理和查詢服務,同時提供證書吊銷查詢服務,滿足使用者在內網使用郵件證書的基本需求。推薦部署雙CA系統,以便能不間斷地為使用者提供證書簽發服務和證書公鑰獲取服務。

如下圖所示為密信EKMS管理介面截圖,使用者購買企業KM後需要登錄其單位帳戶申請部署企業KM,設置企業KM的部署在內網的IP地址,等待安裝部署並正式啟用企業KM。企業KM啟用後,已經從密信公共KM獲取加密公鑰的密信App用戶將重新從企業KM獲取新的加密公鑰,並不再使用原先從密信公共KM獲取的加密公鑰,但會保留在密信App中用於解密之前加密的郵件。而新用戶則直接從企業KM獲取加密公鑰。

歡迎使用者選購密信企業公鑰管理系統,實現加密公鑰的當地語系化自主管控。此加密公鑰不僅可以用於電子郵件加密服務,而且還可以用於文檔加密服務,確保機密文檔的安全。也歡迎內網使用者選購密信企業CA系統,滿足內網郵件全加密的基本證書需求。