Zabezpečte si firemní poštu snadno a bez námahy.

1. 2. 2022 | Jindřich Zechmeister

Zabezpečte si firemní poštu snadno a bez námahy. Představujeme KeyTalk, server pro správu certifikátů, který vám umožňuje automatizaci kompletně celého firemního PKI. Vydání osobních S/MIME certifikátů a jejich distribuce na klienty je pouze jedním z mnoha use case, které KeyTalk umí. V podobě služby Secure Email Service a její hostované varianty se zaměřuje právě na zabezpečení pošty.

Proč potřebuji S/MIME certifikát a zabezpečení pošty?

Než se vrhneme na vlastnosti inovativního produktu KeyTalk, dovolte krátkou rekapitulaci významu osobních certifikátů pro zabezpečení pošty.

Osobní certifikáty S/MIME vám umožňují použití digitálního podpisu a šifrování pošty. Cílem použití digitálního podpisu je prokázat, že zpráva nebyla po odeslání změněna.

Šifrování pošty má jasný cíl - zabezpečit sdělení před cizíma očima tak, aby ho přečetl jen odesilatel a příjemce. Pro zašifrování zprávy musí mít obě komunikující strany S/MIME certifikát a musí si vyměnit minimálně jednu podepsanou zprávu. Pokud se ptáte proč, tak kvůli výměně veřejných klíčů v jejich e-mailových klientech. Pokud zprávu chcete zašifrovat, tak e-mailový klient potřebuje veřejný klíč příjemce. Takto zašifrovanou zprávu si příjemce dešifruje svým privátním klíčem.

Co KeyTalk umí

KeyTalk je univerzální pomocník a umožní vám zabezpečit celou firemní PKI (včetně webového serveru), avšak klade důraz právě na poštu a S/MIME certifikáty. Proto jeho název obsahuje zkratku CKMS, což znamená Certificate Key Management System. Opravdu dokáže spravovat jakýkoliv certifikát a klíče. KeyTalk však není pouze jejich bezpečné úložiště, ale jeho hlavní síla je v integraci ostatních technologií a automatizaci.

Posuďte sami jaké technologie umí KeyTalk používat:

  • Údaje o uživateli získává z LDAP/Active directory, spolupracuje i s Azure AD
  • Jako datové úložiště může používat i MySQL
  • Komunikuje s certifikačními autoritami přes REST API
  • Komunikace s HSM
  • Protokol RADIUS
  • Deploy agent je dostupný pro všechny operační systémy a platformy

Pro vydávání certifikátů se KeyTalk napojí na API certifikační autority (zajišťujeme my) a vše může fungovat automaticky. Na koncové body, kterými mohou být PC, notebooky, telefony i tablety, se certifikáty dostanou díky KeyTalk agentům - malým aplikacím, které obstarají komunikaci s KeyTalk serverem, certifikát do zařízení uloží a nastaví (například pro použití v Outlooku).

Princip fungování KeyTalk CKMS
Princip fungování KeyTalk CKMS

Výběr správného produktu je klíčový

Jako první krok zvažte, zdali chcete využívat KeyTalk jako server a sami ho spravovat, nebo jako službu, kterou spravovat nemusíte. Obě varianty jsou možné a mají své opodstatnění.

KeyTalk CKMS lze získat standardně jako virtuální image. Můžete ho rozjet buď na virtuálním serveru přímo ve vaší firmě, nebo ve vašem cloudu. Výrobce má připravené image pro Azure, AWS a VMware. Je to snadné a vyžaduje to minimální znalosti.

Protiklad managed varianty je služba. KeyTalk Secure Email Service a Hosted Secure Email Service jsou služby a jejich cílem je uživatelům usnadnit použití produktu. Jsou zaměřeny na zabezpečení pošty pomocí S/MIME certifikátů. Rozdíl mezi SES a HSES je v tom, že SES používáte opět na vlastním serveru, ale HSES je poskytován jako služba na serveru výrobce.

KeyTalk ve variantě on-premise vám nabízí 100% kontrolu nad serverem a je určen pro firmy, které využívají cloud a mají kapacitu server administrovat. Cloud varianty se zaměřují na poštu a snaží se používání maximálně zjednodušit. Nejen, že si poštu zabezpečíte zcela bez námahy, ale nemusíte se starat ani o chod a správu serveru!

Pro smysluplnou funkčnost však potřebujete licenci a samotné S/MIME certifikáty. Licenci pro CKMS získáte zvlášť. SES zahrnuje serverovou licenci už v ceně služby, takže se o ni nemusíte starat. HSES je dokonce plně hostovaná služba, takže se licencování a správa maximálně zjednoduší; roční poplatek za uživatele obsahuje už všechny náklady.

Nacenění

Pro přesné nacenění nás kontaktujte a my vám KeyTalk naceníme obratem. Je však dobré se zamyslet nad těmito informaci, které budeme potřebovat:

  • Chcete se o provoz serveru starat sami?
  • Kolik uživatelů chcete zabezpečit? To určuje počet S/MIME certifikátů
  • Chcete poštu zabezpečit interně, nebo i pro komunikaci s venkem? Pokud pouze interně, můžete použít "nedůvěryhodné" certifikáty vydané přímo KeyTalk serverem. V opačném případě však potřebujete certifikáty DigiCertu.

Rozhodnutí je pak čistě na vás. Náklady na provoz on-premise CKMS varianty a (hostované) služby jsou víceméně stejné, takže se zaměřte na to, která varianta je pro vás komfortnější. Hostovaná varianta má výhodu v tom, že nemusíte provozovat server vlastními silami. Ušetříte za provoz serveru či za provoz v cloudu. Nepotřebujete ani žádného správce.

Licence a napojení na API

Jakmile doladíme cenovou nabídku a akceptujete ji, vystavíme vám fakturu a po její úhradě obratem pošleme licenci pro server (nebo službu). Cenové nabídky jsou samozřejmě nezávazné a slouží pouze pro vaše rozhodnutí.

Tuto obdrženou licenci nahrajete na KeyTalk server a ten obživne. Uvidíte počet licencí, které můžete využít.

Pokud chcete využít certifikát od DigiCertu, tak necháme vaši společnost ověřit; to obvykle zabere 1-2 pracovní dny. Pak vám dodáme API klíč k DigiCertu a KeyTalk si může u DigiCertu vydávat certifikáty zcela sám! Platíte je však u nás.

Můžete vydávat!

Získání licence na základě cenové nabídky a napojení na DigiCert můžeme zvládnout během 2-3 pracovních dní. Poté si můžete začít certifikáty vydávat.

Princip získání certifikátu je u KeyTalku snadný - na každém PC či zařízení, kde má být certifikát umístěn, spustíte KeyTalk Agenta. Ten se připojí na KeyTalk server, získá certifikát a na dané stanici ho nastaví do úložiště certifikátů. S/MIME certifikát můžete dokonce nastavit jako výchozí certifikát pro podpis v Outlooku, takže uživatel ani vy nemusí udělat doslova nic.

Díky Group policy můžete na Windows provádět tichou instalaci agentů spolu s konfiguračním souborem. Můžete si tak práci zautomatizovat a uživatel daného PC nic nepozná, nemusí nic potvrzovat.

Jsme partner KeyTalku a rádi vám nezávazně poradíme

Rádi vám poradíme, který produkt je vhodný přímo pro vás a pro váš účel použití. Nezávazně vám poradíme a nemusíte mít obavy se zeptat. Licencování a náklady na KeyTalk vám rovněž rádi transparentně vysvětlíme.

Vše pro vás zařídíme přímo u výrobce. Společnost KeyTalk prodává služby výhradně přes partnery jako je SSLmarket; přímo se koupit nedají. Podporu KeyTalku pro vás zařizujeme taky, takže vás určitě neodkážeme na výrobce a komunikaci v cizím jazyce!


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz