Як подати заявку та використовувати сертифікат S/MIME для підпису електронної пошти

Як розробникові, вам необхідно дбати про безпеку ваших комунікацій. S/MIME — це широко використовуваний стандарт захисту електронної пошти, який дозволяє цифрово підписувати та шифрувати листи. Завдяки цифровому підпису отримувач може впевнитися, що лист дійсно відправили ви, а його вміст не було змінено під час доставки; завдяки шифруванню лише одержувач із правильним приватним ключем може прочитати зміст, гарантуючи збереження конфіденційної інформації.

У цій статті ви дізнаєтесь, як у ServBay — потужному локальному середовищі для Web-розробки — швидко подати заявку та використовувати S/MIME сертифікат електронної пошти завдяки вбудованому менеджеру сертифікатів. Це дозволить підвищити безпеку ваших листів.

Що таке S/MIME сертифікат для електронної пошти

S/MIME (Secure/Multipurpose Internet Mail Extensions) — стандарт безпеки електронної пошти на основі інфраструктури відкритих ключів (PKI). Він використовує цифрові сертифікати (тобто S/MIME сертифікати) для цифрового підпису і шифрування email-листів.

Основні функції S/MIME сертифіката:

• Цифровий підпис: Ваш приватний ключ використовується для створення підпису листа. Одержувач може перевірити підпис за допомогою публічного ключа з сертифіката, переконавшись у вашій автентичності та цілісності листа під час доставки. Це гарантує автентичність та цілісність повідомлення.
• Шифрування листової пошти: Електронний лист шифрується публічним ключем із сертифіката одержувача. Розшифрувати лист може лише отримувач зі своїм приватним ключем. Це гарантує конфіденційність електронної пошти та запобігає розголошенню її змісту у разі перехоплення.
• Зростання довіри: У поштових клієнтах із підтримкою S/MIME належно підписані листи зазвичай мають спецпозначку довіри, допомагаючи визначити легітимні листи й зменшуючи ризик фішингу.

Для розробників S/MIME — це захист обміну поштою, що містить код, деталі проекту, API-ключі або іншą чутливу інформацію.

Передумови

Перед початком роботи переконайтеся, що виконані наступні умови:

• Ви встановили та запустили локальне середовище розробки ServBay (цей гайд орієнтований на macOS).
• У вас є дійсна електронна адреса, з якою буде пов’язаний S/MIME-сертифікат.

Як подати заявку на S/MIME сертифікат через ServBay

ServBay містить зручний інтерфейс для керування сертифікатами, що дозволяє швидко отримати S/MIME сертифікат для розробки, тестування або персонального використання через вбудований ServBay CA.

1. Відкрийте панель управління SSL-сертифікатами: Запустіть додаток ServBay. В лівій панелі основного інтерфейсу виберіть розділ "SSL Certificates". Відкриється менеджер сертифікатів ServBay.
2. Натисніть кнопку додавання: На сторінці управління SSL праворуч угорі знайдіть та натисніть кнопку "+" (Додати).
3. Заповніть інформацію про сертифікат: У спливаючому вікні "Request Certificate" (Подати заявку на сертифікат) введіть такі основні дані:
   • Common Name: Вкажіть ваше ім’я або назву, що відображатиметься в сертифікаті. Наприклад: ServBay Demo User.
   • Usage Purpose: Виберіть призначення сертифіката — оберіть S/MIME (E-mail Signing).
   • Request Method: Виберіть спосіб заявки. Оберіть ServBay CA — використання вбудованого центру сертифікації ServBay.
   • Issuer: Вкажіть організацію-емітента. Для S/MIME сертифікатів зазвичай це ServBay User CA. ServBay User CA підписує особисті, не публічні сертифікати користувачів.
   • Algorithm: Оберіть криптографічний алгоритм. Рекомендується сучасний та захищений ECC (еліптична крива) або класичний RSA.
   • Key Length: Довжина ключа. Для ECC рекомендується 384 біти чи більше, для RSA — від 2048 біт для надійного захисту.
   • Password: [Вкрай важливо!] Встановіть надійний пароль для захисту приватного ключа сертифіката. Цей пароль знадобиться для експорту сертифіката та імпорту в поштовий клієнт. Дуже важливо ЗБЕРЕГТИ цей пароль — ServBay його не зберігає й не може відновити у разі втрати. Дефолтний пароль — ServBay.dev, рекомендовано задати власний безпечний пароль.
   • E-Mail Address: Адреса електронної пошти, з якою пов’язується сертифікат. Це ключовий атрибут S/MIME сертифіката.
4. Натисніть "Request": Перевірте внесені дані, після чого натисніть "Request" у нижній частині сторінки. ServBay миттєво випустить S/MIME-сертифікат через сервіс ServBay User CA.

(На ілюстрації: заповнення форми заявки на S/MIME сертифікат)

Після успішної видачі новий S/MIME сертифікат буде відображено в списку SSL-сертифікатів.

Експорт та використання сертифіката

Після отримання сертифіката необхідно експортувати його у формат, сумісний з поштовим клієнтом, і завантажити до самої програми.

1. Відкрийте менеджер SSL-сертифікатів: Виберіть "SSL Certificates" у бічній панелі ServBay.
2. Знайдіть виданий S/MIME-сертифікат: У списку знайдіть потрібний сертифікат (ідентифікуйте за Common Name або Email Address).
3. Натисніть кнопку дій: Праворуч від рядка сертифіката натисніть іконку експорту (зазвичай це стрілка праворуч).
4. Оберіть папку та збережіть файл: У діалоговому вікні виберіть потрібну директорію та задайте ім’я файлу. Сертифікат експортується у форматі .p12 або .pfx — це захищений файл із публічним сертифікатом і приватним ключем.
5. Імпортуйте в поштовий клієнт: Відкрийте ваш поштовий клієнт (наприклад Apple Mail, Microsoft Outlook, Mozilla Thunderbird тощо). Знайдіть у налаштуваннях розділ "Облікові записи", "Безпека" чи "Сертифікати". Оберіть опцію імпорту сертифіката, вкажіть експортований .p12 файл. Під час імпорту буде запропоновано ввести встановлений вами пароль для захисту ключа. Після введення — сертифікат імпортується та прив’язується до вашої електронної скриньки.

(На ілюстрації: вибір опцій підпису або шифрування S/MIME під час написання листа)

Після імпорту сертифіката в поштовий клієнт під час написання листів з’явиться можливість цифрового підпису та/або шифрування. За потреби обирайте підписання чи шифрування. Зверніть увагу: для відправки зашифрованих листів вам потрібен S/MIME-сертифікат (публічний ключ) одержувача.

(На ілюстрації: як отримувач бачить підписані чи зашифровані листи в клієнті)

Продовження сертифіката

Строк дії S/MIME-сертифікатів, виданих ServBay User CA, складає 800 днів за замовчуванням. Щоби не втратити можливість захисту, продовжіть сертифікат до завершення терміну дії.

1. Відкрийте менеджер SSL-сертифікатів.
2. Знайдіть потрібний S/MIME-сертифікат.
3. Натисніть кнопку поновлення: Праворуч від сертифіката знайдіть і натисніть іконку поновлення (зазвичай це циклічна стрілка).
4. Підтвердьте поновлення: ServBay попросить підтвердити дію. Після підтвердження термін дії продовжиться ще на 800 днів від поточної дати. Після оновлення експортуйте та імпортуйте сертифікат у поштовий клієнт повторно.

Видалення сертифіката

Якщо вам більше не потрібен певний S/MIME-сертифікат, ви можете видалити його з середовища ServBay.

1. Відкрийте менеджер SSL-сертифікатів.
2. Знайдіть сертифікат для видалення.
3. Натисніть кнопку дій: Праворуч від рядка сертифіката оберіть іконку видалення (зазвичай це смітник).
4. Підтвердьте видалення: У меню виберіть "Delete" і підтвердіть дію. Зауважте: після видалення ServBay більше не зберігатиме копію сертифіката. Якщо сертифікат вже імпортовано у клієнт, його потрібно видалити або вимкнути окремо в налаштуваннях поштового клієнта.

Важливі зауваження

• Безпека приватного ключа: Захищайте приватний ключ надійним паролем, не передавайте файл .p12 нікому.
• Довіра до ServBay User CA: Сертифікати, видані ServBay User CA, мають статус приватного центру сертифікації та не визнаються загальнодоступними списоками довіри. При відправці підписаного таким сертифікатом листа зовнішньому одержувачу, поштовий клієнт може відобразити попередження щодо недовіри до підпису. Це допустимо для внутрішніх команд чи тестів, але для повноцінної зовнішньої довіри використовуйте S/MIME-сертифікати від публічних центрів сертифікації. ACME-функції ServBay наразі підтримують лише SSL-сертифікати для вебсайтів, а не для S/MIME.
• Прив’язка сертифіката до email-адреси: S/MIME-сертифікат жорстко прив’язаний до email-адреси. При зміні адреси потрібно оформити новий сертифікат.
• Втрата пароля: Якщо забули пароль до приватного ключа — відновлення неможливе. Обов'язково надійно його збережіть.

Поширені питання (FAQ)

Питання 1: Я забув(ла) пароль до приватного ключа S/MIME-сертифіката, що робити?

Відповідь: На жаль, ServBay не зберігає паролі ваших приватних ключів і не може допомогти з відновленням. У разі втрати пароля файл сертифіката буде непридатний до використання. Видаліть запис у ServBay і подайте заявку на новий S/MIME-сертифікат.

Питання 2: Я відправив S/MIME-підписаний лист через ServBay, але отримувач бачить попередження про "недовірений підпис". Чому так?

Відповідь: Це через те, що ServBay User CA — це приватний локальний центр сертифікації, не включений у загальні списки довіри. Якщо отримувач не встановив та не довіряє даному CA (наприклад, у рамках однієї організації), поштовий клієнт вважатиме сертифікат недовіреним. Це нормальна ситуація — підпис дійсний, але сам CA не має загального визнання.

Питання 3: Якщо я змінив(ла) адресу електронної пошти — чи залишиться чинним старий S/MIME-сертифікат?

Відповідь: Ні. S/MIME-сертифікат пов'язаний саме з email-адресою, вказаною при оформленні. При зміні адреси потрібно подати заяву на новий сертифікат із новою адресою.

Підсумок

Керування S/MIME-сертифікатами — швидкий і простий процес завдяки менеджеру SSL-сертифікатів у ServBay. Використовуйте S/MIME, щоб додати цифровий підпис до важливих листів, підтвердити свою особистість і забезпечити цілісність повідомлень, а також шифрувати конфіденційні дані та захистити свої особисті дані.

Розпочніть оформлення свого S/MIME-сертифіката у ServBay вже сьогодні — підвищуйте надійність і захищеність вашого листування! Якщо виникнуть труднощі, звертайтесь до офіційної документації ServBay або служби підтримки.