密信Mesign本地部署企业密钥管理系统解决方案

一、加密密钥与密钥管理系统简介

S/MIME邮件签名和加密国际标准自1999年出台已经有二十多年了，但是由于业界始终没有解决其易用性问题，使得S/MIME邮件加密一直没有得到普及推广应用，一个最重要的原因是密钥管理太复杂，用户不仅需要知道如何在电脑上生成私钥和如何从CA申请邮件证书，还需要知道如何把邮件证书安装到各种设备的各种邮件客户端软件中，并且能正确配置使用，好不容易搞定了，还需要先同对方交换公钥证书才能发加密邮件，这绝对是一项普通用户根本无法完成的事情。必须解决这个头疼的问题，才能使得邮件加密得以普及应用。

为了保证用户能随时随地非常方便地使用任何设备在密信APP中能解密阅读已加密邮件，而无需费时费力去导入证书来解密，密信研发团队在研究了多家国际国内领先的云服务提供商提供的云密钥管理服务(KMS)后，决定采用在云端实现密钥管理的方案，把传统的一张邮件证书拆分为签名证书和加密证书两张证书，加密证书密钥在云端生成并安全托管在云端密信密钥管理系统中，用户在完成邮箱控制权验证后就可以自动从云端取到加密证书密钥来自动解密已加密邮件，无需用户费时费力导入邮件证书，完美实现全自动邮件加解密。而签名证书由于有用户的身份信息，用户的签名行为具有法律效力，所以，我们把签名证书设计为用户在本地设备上生成密钥，并在本地设备上加密保存密钥。这就是为何用户看到密信APP在不同设备上的签名证书的序列号是不一样的原因。

邮件证书拆分成两张证书并根据签名和加密的两个不同用途采用不同的密钥管理方式，完美地解决了S/MIME邮件加密服务的易用性问题，同时继承了S/MIME邮件签名的不可假冒、不可伪装和不可抵赖的特点，使得S/MIME邮件加密技术真正能实现零门槛无缝使用，用户无需关心证书在哪，只需像平常一样写好邮件点击发送即可自动发送加密邮件和自动接收和解密已加密邮件。

也就是说，密信APP之所以能做到全自动邮件加密，核心是彻底解决了密钥管理问题，建设了密信密钥管理系统，为密信APP用户免费提供公共密钥管理服务，方便用户使用密信APP随时随地使用任何设备获取加密密钥用于解密已加密邮件。并建设了全球公钥库系统，以便密信APP能在用户写邮件时自动获取收件人的加密证书公钥，彻底实现自动发送加密邮件，而无需用户实现同收件人交换加密证书公钥。

二、密信企业密钥管理系统简介

密信密钥管理系统作为一个公共服务系统免费为用户提供密钥管理服务，实现了电子邮件的无感全自动加密，这属于密钥托管服务，用户的加密密钥托管在密信密码基础设施中。而对于一些对加密密钥管控要求比较高的单位，希望自己在本地管理加密密钥实现完全自主可控，则需要选择密信企业密钥管理系统(EKMS)，并部署在单位内网，实现单位员工邮件加密和文档加密的密钥本地化自主管控。

单位用户希望部署自己的企业密钥管理系统，选择邮件签名服务单位专业版，申请V3单位认证和完成单位邮箱域名验证，单位必须有企业邮局，每个员工必须有单位域名邮箱，以便密信APP能自动识别本单位员工并自动从本单位部署的企业密钥管理系统获取加密证书密钥。

单位用户可选择密信企业密钥管理系统(硬件或软件)，或者选择通过密信认证的其他厂商密钥管理系统，每个使用密信APP实现邮件加密服务的邮箱都需要一个密钥。同时，为了密钥管理的高度安全可靠，强烈建议用户至少有两台密钥管理机或者配置两台高可靠的服务器部署企业密钥管理系统，实现双机热备份，确保能可靠地随时为员工提供密钥获取服务。

如果单位选了文档数字签名服务，则单位授权员工就可以免费使用文档数字签名服务和文档加密服务，就可以使用从单位部署的企业密钥管理系统获取的加密密钥来加密各种机密文档，并可以在加密时指定某些员工有权阅读，能有效地保证单位内部机密文档信息安全，防止被非法外泄。

三、企业密钥管理系统部署

用户只需把密信密钥管理机(硬件)或者密钥管理系统(软件)部署在单位内网中，并登录单位密信账户设置密钥管理系统的内网IP地址，则所有员工使用密信APP设置其单位邮箱时密信APP会根据用户设置的企业邮箱域名去检索企业密钥管理系统的访问地址，就能连接到企业密钥管理系统去获取加密密钥，而不是连接云端密信公共密钥管理系统去获取加密密钥。一旦成功获取加密证书私钥，就可以从密信默认CA系统获取加密证书和签名证书，员工就可以正常使用邮件加密功能了。外地分部员工必须能通过VPN连接到密钥管理系统。请注意：企业密钥管理系统不能访问互联网，仅限于单位员工电脑和移动设备在单位内网访问，以确保KM系统和密钥安全。企业KM部署示意图如下左图所示。

如上图所示，对于无法联互联网的内网单位用户，则无法使用密信默认CA为其员工颁发签名证书和加密证书，也无法访问密信全球公钥库，则需要密信企业CA系统，用于自动为员工签发签名证书和加密证书，并可用于密信APP获取其他用户的加密证书公钥实现自动发送加密邮件。

企业CA系统部署在企业单位内网，支持自动生成自签根证书和用于签发用户证书的中级根证书，并由中级根证书为用户签发邮件签名证书和加密证书，支持用户定义证书模板，用于签发统一主题信息的V4签名证书。密信企业CA系统不仅能为用户签发邮件证书，还为提供公钥管理和查询服务，同时提供证书吊销查询服务，满足用户在内网使用邮件证书的基本需求。推荐部署双CA系统，以便能不间断地为用户提供证书签发服务和证书公钥获取服务。

如下图所示为密信EKMS管理界面截图，用户购买KM后需要登录其单位账户申请部署KM，设置KM的部署在内网的IP地址，等待KM厂商安装部署并正式启用企业KM。KM启用后，已经从密信公共KM获取加密密钥的密信APP用户将重新从企业KM获取新的加密密钥，并不再使用原先从密信公共KM获取的加密密钥，但会保留在密信APP中用于解密之前加密的邮件。而新用户则直接从企业KM获取加密密钥。

选择密信企业密钥管理系统，实现加密密钥的本地化自主管控。此加密密钥不仅可以用于电子邮件加密服务，而且还可以用于文档加密服务，确保机密文档的安全。内网用户选择密信企业CA系统，满足内网邮件全加密的基本证书需求。

密信Mesign本地部署企业密钥管理系统解决方案相关推荐

电子企业MES管理系统解决方案
随着信息技术的飞速发展,电子企业面临着日益复杂的数据管理.生产流程和业务决策等问题.如何应对这些问题并提高企业生产效率已成为电子企业的当务之急.本文旨在探讨电子企业MES管理系统的解决方案,以应对电子 ...
建筑施工企业信用评价管理系统解决方案
央企.国企建筑施工企业作为工程总承包单位,在项目建设管理的各个阶段都面临着较为复杂严峻的信用风险威胁,不仅影响施工企业的应收账款.保证金管理,还可能形成工程质量.施工安全生产.农民工工资发放等风险问题 ...
生鲜冷链冻品零售企业订货管理系统解决方案
伴随着互联网技术的不断发展,人们的生活水平也在不断提高,很多时候工作和生活不能很好的平衡,尤其是都市白领们忙的都没太多的时间去逛超市,于是生鲜配送业务就有了很大的市场需求,客户如果想要实现线上选购,就 ...
微信客户管理系统本地部署的优势
随着互联网时代的发展,随着企业不断的发展壮大,利用微信管理系统来进行有效的客户管理是必不可少的.目前联络易的微信管理系统分为三种种,一种是个人版,还有增强版,另外一种是私有云版的.不少企业再选择版本时 ...
alm系统的使用流程_支持MBSE的企业信息管理系统发展与启示
导读:本文介绍了模型管理与MBSE.产品生命周期管理(PLM)的概念及其之间的关系,分析了不同行业的模型管理现状,提出了模型管理的解决方案与技术方向,最后给出了建设企业信息管理系统的建议,以期为企业信 ...
免费的crm系统部署在自己的服务器,crm系统本地部署与云端部署的区别
CRM系统的部署方式通常有三种模式,分别是:本地部署.云端部署.公有云部署等三种模式.通常企业在选择的部署方式是本地部署与云端部署.那么他们部署方式得区别是什么? 本地部署CRM系统本地部署的CRM ...
SAP云解决方案和企业本地部署（On-Premise）混合架构下的安全认证权限管理
SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理参考文章: (1)SAP云解决方案和企业本地部署(On-Premise)混合架构下的安全认证权限管理 (2)http ...
计算机毕业设计JAVA企业人事管理系统mybatis+源码+调试部署+系统+数据库+lw
计算机毕业设计JAVA企业人事管理系统mybatis+源码+调试部署+系统+数据库+lw 计算机毕业设计JAVA企业人事管理系统mybatis+源码+调试部署+系统+数据库+lw 本源码技术栈: 项目 ...
Windows环境部署PbootCMS企业网站管理系统
Windows环境部署PbootCMS企业网站管理系统 1.PHP7部署 1.1.下载PHP7 1.2.解压安装PHP7 1.3.配置php7 1.4.验证环境 2.Nginx部署 2.1.下载Ngi ...
easy-mock本地部署成功，访问报错：EADDRNOTAVAIL 0.0.0.0:7300 解决方案
easy-mock本地部署成功,访问报错:EADDRNOTAVAIL 0.0.0.0:7300 解决方案参考文章: (1)easy-mock本地部署成功,访问报错:EADDRNOTAVAIL 0.0 ...

密信Mesign本地部署企业密钥管理系统解决方案

密信Mesign本地部署企业密钥管理系统解决方案相关推荐

最新文章

热门文章