1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
|
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE chapter PUBLIC "-//OASIS//DTD DocBook XML V4.4//EN"
"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<!-- $Id: pgp.xml,v 1.16 2012/02/23 13:44:38 mg Exp $ -->
<chapter id='configure-pgp'>
<title>PGP</title>
<para>
OTRS емеет возможность подписывать или шифровать исходящие сообщения с
помощью PGP. Также, могут быть расшифрованы вохдящие шифрованные сообщения.
Шифрование и дешифрование осуществляется с помощью GPL-инструмента
GnuPG. Чтобы установить GnuPG для OTRS, нужно проделать следующие действия:
</para>
<para>
<orderedlist numeration="arabic">
<listitem>
<para>
Установка GnuPG с помощью менеджера пакетов вашей операционной системы.
</para>
</listitem>
<listitem>
<para>
Configure GnuPG for use with OTRS. The necessary directories for GnuPG and a
private key have to be created. The command shown in the script below has to
be executed as user 'otrs' from a shell.
</para>
<para>
<screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --gen-key
gpg (GnuPG) 1.4.2; Copyright (C) 2005 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: directory `/opt/otrs/.gnupg' created
gpg: new configuration file `/opt/otrs/.gnupg/gpg.conf' created
gpg: WARNING: options in `/opt/otrs/.gnupg/gpg.conf' are not yet active during t
his run
gpg: keyring `/opt/otrs/.gnupg/secring.gpg' created
gpg: keyring `/opt/otrs/.gnupg/pubring.gpg' created
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Ticket System
Email address: support@example.com
Comment: Private PGP Key for the ticket system with address support@example.com
You selected this USER-ID:
"Ticket System (Private PGP Key for the ticket system with address support@examp
le.com) <support@example.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
Passphrase: secret
Repeat passphrase: secret
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
++++++++++.+++++++++++++++++++++++++....+++++.+++++...+++++++++++++++++++++++++.
+++++++++++++++++++++++++.+++++.+++++.+++++++++++++++++++++++++>++++++++++>+++++
.......>+++++<+++++................................+++++
Not enough random bytes available. Please do some other work to give
the OS a chance to collect more entropy! (Need 280 more bytes)
++++++++++.+++++..++++++++++..+++++....++++++++++++++++++++.+++++++++++++++.++++
++++++++++++++++++++++++++.++++++++++.+++++++++++++++.++++++++++.+++++++++++++++
..+++++>.+++++....>+++++........................................................
...........................................................>+++++<+++++.........
.............+++++^^^
gpg: /opt/otrs/.gnupg/trustdb.gpg: trustdb created
gpg: key 7245A970 marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
pub 1024D/7245A970 2006-02-03
Key fingerprint = 2ED5 BC36 D2B6 B055 7EE1 5833 1D7B F967 7245 A970
uid Ticket System (Private pgp key for ticket system with addre
ss support@example.com) <support@example.com>
sub 2048g/52B97069 2006-02-03
linux:~$
</screen>
</para>
<para>
<emphasis>Script: Configuring GnuPG.</emphasis>
</para>
<para>
As shown in the script below, the default settings can be applied for most
of the required parameters. Only the values for the key owner have to be
entered correctly, with a proper password specified for the key.
</para>
</listitem>
<listitem>
<para>
Теперь OTRS готов для использования PGP. Через Панель Администрирования
откройте интерфейс SysConfig и найдите ссылку "PGP". Из результатов поиска
выберите подгруппу Crypt::PGP.
</para>
<para>
На странице с PGP-настройками, PGP должен быть активирован для OTRS (первая
опция). Также нужно установить ипроверить путь к gpg-программе.
</para>
<para>
Следующим нужно изменить конфигурационный параметр (PGP::Options). Используя
эти конфигурационные настройки можно определить параметры, которые будут
использоваться для каждого вызова gpg пользователем 'otrs'. Каталог с
конфигурационными файлами для GnuPG является очень важным. В примере
используется <filename>/opt/otrs/.gnupg</filename>. Эта директоиря была
создана на первом шаге конфигурации PGP.
</para>
<para>
Используя следующий конфигурационный параметр (PGP::Key::Password), можно
указать пары для ключей ID и их пароли для собственных закрытых
ключей. Поскольку партнеры извне пишут зашифрованные сообщения в систему
заявок используя ваш публичный ключ, OTRS может расшифровать эти сообщения с
помощью ID/паролей указаных здесь.
</para>
<para>
How to get the id of your own private key? The ID of your own private key is
already shown during the key generation (see step 1 from above). It is also
possible to get the ID if the command specified in the following script is
executed as user 'otrs':
</para>
<para>
<screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --list-keys
/opt/otrs/.gnupg/pubring.gpg
----------------------------
pub 1024D/7245A970 2006-02-03
uid Ticket System (Private pgp key for ticket system with
address support@example.com) <support@example.com>
sub 2048g/52B97069 2006-02-03
linux:~$
</screen>
</para>
<para>
<emphasis>Script: Getting the ID of your own private key.</emphasis>
</para>
<para>
Идентификатор (ID) закрытого ключа можно найти в строке, которая начинается
с "sub". Это шестнадцатеричное представление строки, длиной в восемь
символов, например "52B97069". Пароль, который нужно указать для этого
ключа в системе обработки заявок такой же как данные при генерации ключей.
</para>
<para>
После того, как эти данные были введены, нажмите кнопку "Обновить" чтобы
сохранить настройки. Теперь OTRS готов принимать и расшифровывать
зашифрованные сообщения.
</para>
</listitem>
<listitem>
<para>
И наконец, нужно импортировать открытый ключ клиента. Это гарантирует, что
зашифрованные сообщения могут быть отправлены этому клиенту. Есть два
способа импортировать открытый ключ клиента.
</para>
<para>
Первый способ - указать открытый ключ клиента в веб-интерфейсе управления
клиентами.
</para>
<para>
Вторая возможность заключается в определении ключей посредством настройки
PGP, которая доступна через Панель Администрирования. В правой стороне этой
страницы отображаются все импортированные открытые ключи клиентов. После
того как PGP активирован и сконфигурирован, здесь также должен отображатся
ваш собственный открытый ключ. В левой части страницы настроек PGP можно
производить поиск по ключам. Также, новый открытый ключ может быть загружен
в систему из файла.
</para>
<para>
Файлы с открытым ключем, которые нужно импортировать в OTRS должны
соответствовать файлам ключей GnuPGP. В большинстве случаев, ключ
сохраняется в файле как "ASCII armored key". OTRS позволяет работать с этим
форматом.
</para>
</listitem>
</orderedlist>
</para>
</chapter>
|
