Чи можу я створити власний сертифікат S / MIME для шифрування електронної пошти? [зачинено]

19

Зачинено. Це питання поза темою . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для помилки сервера.

Закритий минулого року .

У мене тут є проблема. Майте на увазі мене, оскільки це може бути випадок "не задавати правильного питання".

Передумови: Використання Apple Mail. Хочете зашифрувати / розшифрувати електронну пошту, але GPGMail (і, мабуть, PGP) не підтримується Snow Leopard.

В основному мені потрібно створити сертифікат S / MIME для використання в шифруванні електронної пошти. Я не хочу і не дбаю про Сертифікаційний орган. Я просто хочу швидкого і брудного сертифіката. Це можливо навіть (за допомогою OPENSSL тощо) чи весь процес залежить від вищої інстанції, що змушує мене або створити повномасштабний КА, або мати справу з компанією (наприклад, Verisign, Thawte) для отримання сертифікату? Мої критерії - миттєве задоволення та безкоштовне.

Найкраще.

— humble_coder
джерело

1

Зауважте, що ваш сертифікат використовується для двох цілей у S / MIME. Щоб підписувати свої електронні листи та розшифровувати електронний лист, який вам надіслав хтось інший. Для шифрування електронної пошти комусь іншому вам знадобиться їх сертифікат. Зазвичай клієнти електронної пошти встановлюються поза вікном, щоб довіряти деякому заздалегідь визначеному набору ЦО. Якщо сертифікати не будуть підписані одним із них, ви отримаєте принаймні неприємне повідомлення та, можливо, навіть непрацюючу систему.

— Джеймс Відновити Моніку Полк

1

Я знаю, що це питання старіше, але для подальшої довідки плагін GPGMail зараз працює над Snow Leopard gpgtools.org/installer/index.html

— Джейсон

Я знаю, що це старіший коментар - але GPGMail вже не є безкоштовним для OSX.

— nycynik

23

Так, це гадно, що Apple Mail не підтримує GPG. :-( Я б хотів, щоб це було, тому що я також вважаю за краще зашифрований GPG електронною поштою.

Я також погоджуюся, що інформацію, яка стосується S / MIME та генерування власних сертифікатів електронної пошти, важко отримати. Я знайшов, що на веб-сторінці Пола Брамшера є хороший опис того, як створити власний сертифікат Органу з сертифікації.

Я не претендую на те, що повністю розумію процес сертифікації, але це те, що мені вдалося скласти разом. Для отримання більш детальної інформації про кожну із команд, показаних нижче, ви можете ознайомитись з відкритою сторінкою.

Створіть орган сертифікації

Перший крок - створити власний орган сертифікації (CA). Команди є…

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

і дотримуйтесь підказок.

Вам потрібно буде опублікувати сертифікат вашої організації (тобто вміст ca.crt ) кожному одержувачеві вашої зашифрованої електронної пошти. Одержувачам доведеться встановити та довірити вашому сертифікату CA, щоб ваш зашифрований електронний лист був довірений. Установка відрізнятиметься від кожного поштового клієнта.

У вашому випадку вам потрібно буде додати сертифікат вашої організації до вашого брелока Apple. В Інтернеті є багато публікацій про те, як імпортувати та довіряти сертифікат CA в Keychain Apple.

Створіть персональний запит на отримання електронної пошти

Тепер вам потрібно створити запит на сертифікат. Створіть її для кожної адреси електронної пошти, з якої ви хочете надіслати електронну пошту. Виконайте такі команди…

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

і дотримуйтесь підказок.

Орган сертифікації підписує ваш запит на сертифікат

Ваш особистий сертифікат повинен бути підписаний вашим КА. У цьому випадку ви!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

Вихід - ваш підписаний сертифікат.

Підготуйте свій сертифікат для імпорту у вашу електронну заявку

Вам потрібно конвертувати свій сертифікат .crt(формат PEM, я думаю) у .p12формат PCKS12.

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

Тепер ви можете імпортувати *.p12*відформатований сертифікат у свій поштовий клієнт. У вашому випадку імпортуйте *.p12*файл у брелок Apple. Після того, як сертифікат буде встановлено правильно, Apple Mail почне використовувати ваш сертифікат.

Існує легший шлях

Звичайно, щойно ви створили свій власний офіційний центр, існує простіший спосіб управління сертифікатами, створеними вашим власним органом сертифікації. openssl поставляється зі скриптом на ім'я ...

# /usr/lib/ssl/misc/CA.pl

що спрощує процес створення вашого власного сертифікаційного органу. Для CA.pl є навіть чоловіча сторінка!

— Засуджений
джерело

У розділі Сертифікаційний орган підписує ваш запит на сертифікат. Аргумент "-CAKey" повинен бути "-CAkey" із малим регістром "k" - принаймні для моєї версії Open SSL 1.0.0a 1 червня 2010

— KevM

2

Я змінив -CAKey на -CAkey. Це дійсно відмінна відповідь, але побічний коментар щодо GPG є необґрунтованим. S / MIME має багато переваг перед GPG. Крім широкої підтримки, він включає сертифікат з кожним підписаним повідомленням, що забезпечує вбудований механізм розповсюдження сертифікатів.

— vy32

Не забудьте встановити деякі обмеження на сертифікат, див. Security.stackexchange.com/a/30069/3272

— Tobias Kienzler

8

Безкоштовно та підписано CA: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

— Ендрю Макгрегор
джерело

1

Commodo використовує тег <keygen>, щоб ваш браузер міг зробити CSR, не ділившись приватною ключем. Це не працює в більшості сучасних браузерів (наприклад, Chrome 49+).

— mhvelplund

Цитата на сторінці: “ Будь ласка, використовуйте Mozilla® Firefox® або Microsoft® Internet Explorer® 8+ для збору сертифіката. Сертифікати електронної пошти не можна збирати за допомогою Google® Chrome® або Microsoft Edge. ”. Це відповідає таблиці сумісності з MDN .

— Франклін Ю

працює з використанням сафарі.

— nycynik

1

Як говорили інші, відповідь, очевидно, так. Ви можете генерувати його через openssl, або ви можете скористатись одним із провайдерів, який надає безкоштовний сервер електронної пошти x509.

Зважаючи на це, найважливіше питання: що робити людям, яким ви обмінюєтесь електронною поштою? Я активний у спільноті вільного програмного забезпечення, тому більшість людей, з якими я обмінююся електронною поштою, використовують GPG. Єдині, з яких я знаю, що використовують S / MIME, роблять це на своєму робочому електронному листі як питання корпоративної політики.

Якщо люди, яким ви надсилаєте електронні листи, не використовують S / MIME, ви не зможете зашифрувати їх, і вони не зможуть перевірити підписані електронні листи.

— Девід
джерело