Защита сертификатом в среде интранета?
Одна вещь, с которой я столкнулся с доступом VPN, состоит в том, что существуют многие поставщики там, что использование 10.0.1.x и 10.0.0.x обращается как значение по умолчанию. В моей сети 10.0.0.0/21 наша подсеть сервера, которая делает очень трудным поддерживать удаленный доступ. Если бы у меня был он для переделывания снова, то я поместил бы адресное пространство сервера в самом верху пространства с 10 сетями (где-нибудь как 10.253.0.0/21), потому что я не видел поставщиков что высоко в конфигурациях по умолчанию. Если у Вас есть ресурсы, что Вы знаете абсолютно, что привычка доступна от VPN затем, Вы могли использовать более низкий уровень IP пространства к тем ресурсам.
FWIW.. Я знаю, что Cisco / Linksys находится в 192.168. диапазоны и Apple поставляют Аэропорты с помощью или 10 или 172 схем адреса.
Надежда, которая помогает
Вот несколько советов, о которых следует подумать, пока вы это реализуете.
Каждый пользователь должен иметь закрытый и открытый ключ GPG. Они сами генерируют ключ и передают открытый ключ системным администраторам, чтобы сделать их доступными для всех. Затем Джон может зашифровать свою электронную почту, адресованную Полу, используя открытый ключ Пола, и тогда только Пол сможет расшифровать ее своим закрытым ключом.
Но осторожно! Если Джон захочет иметь возможность позже прочитать отправляемое им электронное письмо, ему также придется зашифровать письмо своим собственным ключом. Это параметр конфигурации в большинстве почтовых клиентов, не уверен в Outlook.
Но еще раз осторожно! Если Пол уволен при странных обстоятельствах, и внезапно его электронная почта должна быть проверена, вам не повезло, поскольку только сам Пол может ее расшифровать. Вот почему хорошо иметь главный ключ GPG, и указать в политике, что «все зашифрованные документы должны быть зашифрованы с помощью главного открытого ключа». Главный секретный ключ-пароль должен храниться в надежном месте, чтобы его можно было использовать в чрезвычайной ситуации.
Кроме того, если вы намереваетесь зашифровать электронные письма, отправленные на электронные письма группы, имеет смысл сгенерировать и поделиться секретным ключом между членами группы. Это может облегчить системным администраторам обмен паролями, например, внутри своей команды.
The classical approach is that every user should have his own key pair (private/public). Открытые ключи должны быть доступны всем пользователям (например, с использованием сервера LDAP), следовательно, когда Джон отправляет электронное письмо Полу, он шифрует его открытым ключом, чтобы гарантировать, что только Пол сможет прочитать это письмо. Обратите внимание, что это не гарантирует аутентификацию (для этого вам необходимо подписать электронное письмо), а только конфиденциальность.