安全

这个标签包含TeamWox多方面的安全设置。它们分成几个部分:证书密码和工作会议安全认证代理服务器公共请求处理

Security

证书

TeamWox使用HTTPS协议通过443端口进行工作。传送的所有信息都使用安装的SSL证书加密。默认下系统中安装MetaQuotes Software CA发布的证书。这个证书会在用户的浏览器上出现相应的不信任警告。为了避免它,可以把这个证书添加到可信列表。为此,应该通过位于“发布者”字段右侧的链接下载证书并安装证书。

证书框的上部包括已经安装的证书信息:发布者,主题,到期。下面是管理证书的各种命令:

请求和安装证书

您可以点击上面框中的“请求新证书”按钮生成一个证书请求发送到证书中心。点击这个按钮后,打开下面窗口:

Certificate request

这里指定下列参量:

常用名 ― 证书常用名。

位置 ― 公司所在城镇。

机构 ― 您公司名。

机构单元 ― 您公司部门负责证书事宜。

电子邮件 ― 联系您公司的电子邮件地址。

国家 ― 您公司所在国家。

州/省 ― 您公司所在的州/省。

街道 ― 您公司所在的街道。

域名 ― 您的TeamWox系统所在的域名。

密钥长度 ― 密钥长度二选一:1024或2048字节。

输入全部所需信息后,点击“继续”按钮。如果您点击“取消”按钮,这个窗口会关闭并且请求也不会发送。如果您点击“继续”按钮,将会生成发送到一个受信任证书中心的请求:

Certificate request

根据说明这个请求可以复制并发送到选定的证书中心。

获得证书的详例在www.teamwox.com中的"如何获得TeamWox合法的SSL证书"文章中描述。

从认证中心接收的回答应该被复制到TeamWox。为此,应该点击“使用证书授权回复”按钮。

Using issued certificate

在打开的窗口中需要插入从认证机构接收的回答。点击“应用”按钮,证书安装在TeamWox系统中。

认证机构可以提供两种类型的回答―X509PKCS格式。不同点是后者除了主证书外还包括中间证书。因此,当在TeamWox中安装证书时所有中间证书也附加安装到服务器上。它确保了所有浏览器都会认可安装在TeamWox上的证书可信。

根据类型,安全中心的回答如下:

X509

PKCS

-----BEGIN CERTIFICATE-----

...

-----END CERTIFICATE-----

-----BEGIN PKCS #7 SIGNED DATA-----

...

-----END PKCS #7 SIGNED DATA-----

推荐使用PKCS格式的证书中心回答。

如果几个证书请求提前生成那么TeamWox系统会选择适合自己的并用它申请插入认证中心回答。

重新发布证书

许多公司会在整个有效期内给予无限的证书重新发布机会。在以下情况下证书重新发布是必须的:

私人密钥丢失或它可能被第三方知晓;

证书中指定了错误的信息;

证书工作不当。

这种情况必须重新生成证书请求。需要去证书发布者网站并通过专门的重新发布程序。这里是最常用的证书中心链接:

Thawtehttps://www.thawte.com/reissue

GeoTrusthttp://www.geotrust.com/support/ssl-certificate-reissuance/index.html

Verisignhttp://www.verisign.com/ssl/current-ssl-customers/revoke-replace-ssl/index.html

通过重新发布程序后,插入从证书中心接收的回答到相应窗口。然后重新安装证书。

用另一个准备好的证书替换当前证书(*.pfx)

若要修改当前证书,您应该点击“更改证书”按钮。然后会出现下面的窗口:

Uploading new certificate

若要指定新的证书,点击“浏览”按钮并在文件选择的标准窗口选择证书。如果您的证书有密码,那么您应该在相应字段指定密码。上传新证书,点击“上传”按钮。取消操作,您应该点击“取消”按钮。

导出证书

您可以点击“导出证书”按钮下载系统中安装的证书的PFX文件到您的电脑中。然后会出现需要证书密码的窗口。如果证书没有密码,密码字段为空然后点击“OK”按钮。完成后,指定是否打开或保存文件的浏览器窗口就会打开。

密码和工作会议安全

若要提供系统安全,实施固定的复杂密码控制。密码必须包括6个字符其中包含小写字母,大写字母和数字。

设置通过IP地址控制工作程序

“设置通过IP地址控制工作程序”选项允许增强系统的安全性。如果启用这个选项,用户连接与其IP地址绑定。因此,如果下次连接从其他地址执行那么若要进入系统用户必须再次指定登录名和密码,无需在意认证窗口中的“记住我”选项。

N天后请求更改用户密码

这个选项也意于增强系统工作的安全性。如果特定时期后公司安全政策要求更改用户密码,那么就要启用这个选项并设置天数。一旦指定的时期已过,用户就需要使用下面窗口在TeamWox界面中更改密码:

Password changing

窗口包含以下字段:

登录名 ― 在这个字段,指定用户登录名。

新密码 ― 这里指定新密码。新密码必须不同于前密码。新密码要求足够复杂(至少6个字符并且要包括大小写字母和数字)。

确认 ― 在这个字段,再次输入新密码。

当前密码 ― 为了避免未授权的密码更改,在这个字段必须再次指定当前用户密码。

这个选项只在登录名和密码授权下工作。如果用户在系统中通过活动目录或使用证书授权,那么密码更改窗口不会打开。

认证

TeamWox 可以使用活动目录域名中拥有的登录名和密码认证用户或通过安全证书认证用户。

活动目录中的认证

如果启用这个选项那么用户将能够使用活动目录的登录名和密码进入系统。您也应该在“域名”字段指定域名,例如:“ad.company.com”。

除了启用上面提到的选项,还应该分配给用户特殊权限:“通过登录域名认证”,这可以在"服务器"部分的"用户->权限"标签中看到。在“TeamWox”系统中用户登录名也必须类似于活动目录中的登录名。

ActiveDirectory users may also use their current login and password to authorize in WebDAV for accessing "Documents" and in CalDAV for accessing "Calendar". To activate this feature, enable options "Use for WebDAV authentication in Documents module" and "Use for CalDAV authentication in Calendar module".

security_authentication

It should be noted that these settings imply some technical restrictions, due to which users created in TeamWox manually cannot use WebDAV and CalDAV.

迅速启动系统工作您可以从活动目录导入用户。

使用客户证书

您可以通过受信任认证中心发布的证书允许用户认证。所以,要勾选“通过受信任认证中心使用客户证书”字段。

在“检测”字段,您应该选择证书检测字段。可得到三种变量:普通名称,电子邮件或个人证书。在第一种情况下,证书的普通名称和用户在TeamWox的登录名要匹配。第二种情况,证书中指定的电子邮件和用户联系信息 中指定的电邮地址要匹配。如果您选择通过个人证书的认证变量,那么将会使用TeamWox系统中直接为用户生成的证书

在“证书认证列表”字段您可以指定从认证中心获得的公共证书,通过这个证书用户也可以登录进系统。为此您应该点击“浏览”按钮指定相应的*.cr或*.crt文件。若要使指定的证明中心生效,您应该将其勾选。

跟前一种情况一样,特殊权限需要分配给用户:“通过CA证书认证”,这可以在"服务器"部分的"用户 -> 权限"标签中看到。

用户证书可以在用户个人资料"安全"标签生成。

代理服务器

Proxy server

如果TeamWox服务器与internet的连接是通过代理服务器实施那么您应该设置下面参量:

使用代理服务器 ― 启用使用代理服务器的操作您应该勾选这个字段。然后用冒号隔开指定地址和服务器端口。例如,proxy.company.com:3128。

登录名 ― 服务器认证的登录名。

密码 ― 服务器认证的密码。

如果不需要登录名和密码那么这些字段您可以留空。您可以从系统管理员处获得上面指定的参量。

公共请求处理

在这方框,您可以为与外部网络字段集成组件设置系统公共访问参量。

Processing of public requests

这里可以获得下面选项:

允许公共访问
TeamWox未授权(公共)连接用于将服务台聊天与外部网络资源集成。如果没有使用公共组件,那么不勾选这个选项的话就无法启用这种类型的连接。

从下列IP地址考虑X-转发标题请求
用户可以通过不同代理服务器经由公共服务进入系统或发送请求。这时代理服务器的IP地址不能使用在聊天对话系统日志条目中,等等。如果这个字段指定这种代理服务器的地址,TeamWox系统将会尽力识别使用“X-转发”标题的用户的真正IP地址。应该考虑只有受信任的服务器IP地址才会指定在这里,伪造地址无法通过。

允许使用 HTTP
默认情况下公共连接通过受保护的HTTPS协议经由443端口运行。但是如果系统安装的证书为自签证书(例如由MetaQuotes Software CA发布的默认证书),由于浏览器的安全政策在发送公共请求时会出现问题。在这种情况下您应该通过HTTP协议经由80端口允许使用未加密连接进行公共组件工作。为此,应该勾选这个字段。

一旦购买及安装受信任认证中心发布的证书,您应该禁用“允许使用HTTP”选项。

保存更改的设置,点击“更新”按钮。如果您想要取消更改,点击“取消”按钮。