Ресертификация с использованием почты
1. Если у пользователя истекает срок действия сертификата или пользователь "переходит" из одного подразделения в другое, он присылает сертификатору запрос на сертификацию. Для этого пользователь выбирает в меню File - Tools - User ID, далее закладку Certificates
и на ней нажимает кнопку Request Certificate. В окне Mail Certificate Request
вводит адрес сертификатора, "поясняет" причину запроса и нажимает кнопку Send.
Рис. 8.14 Создание запроса на ресертификацию по почте
2. Сертификатор получает в своем почтовом ящике письмо, к которому присоединена "безопасная копия" ID-файла пользователя.
Рис. 8.15 Письмо с запросом на ресертификацию
Сертификатор выбирает в меню Actions - Certify Attached ID file... В появившемся диалоговом окне сначала выбирает тот ID-файл сертификатора, которым собирается ресертифицировать присланный ID-файл. Если требуется только продлить срок действия сертификата, должен выбираться тот же самый ID-файл сертификатора, который был использован при регистрации пользователя. При переходе пользователя из одного подразделения в другое должен выбираться ID-файл сертификатора нового подразделения.
Если присланный ID-файл имеет иерархическое имя, появится диалоговое окно Certify.
Рис. 8.16 Диалоговое окно Certify
Текст в окне Certify - "вы можете выпустить взаимный сертификат на это иерархическое имя и сохранить его в адресной книге или же вы можете заменить иерархию в ID-файле путем ресертификации" - предупреждает о возможности двух вариантов дальнейшего развития событий. Кнопка Cross-certify используется для выпуска взаимных сертификатов... Но в рассматриваемом случае необходима ресертификация - замена всей цепочки сертификатов-компонент иерархического сертификата в содержащемся в письме ID-файле. По нажатию кнопки Re-certify появится окно Certify ID.
Рис. 8.17 Диалоговое окно Certify ID
После возможного изменения срока истечения создаваемого иерархического сертификата, корректировки кнопкой Server имени сервера, в адресной книге которого будут выполнены изменения в документе Person пользователя, и нажатия кнопки Certify появляется окно для отправки ресертифицированного ID-файла его владельцу.
Рис. 8.18 Диалоговое окно Mail Certified ID
3. Пользователю остается "вставить" новый сертификат из возвращенной ему ресертифицированной "безопасной копии" в свой ID-файл. Он находит в своем почтовом ящике письмо с присоединенным ресертифицированным ID файлом. Выбирает в меню Actions - Accept Certificate. При иерархических сертификатах получает окно Accept New ID Information, при неиерархических - Merge Certificate Into Your ID File. Нажимает соответственно кнопки Ok или Accept.
Рис. 8.19 Письмо с ресертифицированной безопасной копией ID-файла
Однако в этот момент, если ресертификация была связана с переходом в другое подразделение и повлекла изменение полного иерархического имени в ID-файле, пользователя могут подстерегать серьезные неприятности. Обычно в списке управления доступом (ACL) почтового ящика пользователя указано, что только он (еще под "старым" именем) и его почтовый сервер являются менеджерами, а остальные вообще не имеют доступа к почтовому ящику. Сменив имя на новое и закрыв почтовый ящик, пользователь более не получит к нему доступа. Чтобы избежать этой достаточно неприятной ситуации, пользователю рекомендуется непосредственно перед сменой имени добавить в ACL своего почтового ящика себя же, но под новым именем. Уже после изменения имени старое имя из ACL можно удалить.
Аналогичная ситуация может иметь место и с другими базами данных. Более того, старое имя пользователя могло использоваться в ряде документов из общей адресной книги и в полях типа Readers и Authors документов из самых различных баз... К сожалению, при выбранном способе ресертификации эту работу по изменению старого имени на новое придется проделать вручную.