E-posta şifrelemesi için kendi S / MIME sertifikamı oluşturabilir miyim? [kapalı]

19

Burada biraz sorun yaşıyorum. "Doğru soruyu sormama" durumu olabileceğinden benimle birlikte kalın.

Arka plan: Apple Mail kullanma. E-postayı şifrelemek / şifresini çözmek istiyor, ancak GPGMail (ve görünüşe göre PGP) Snow Leopard ile desteklenmiyor.

Temelde e-posta şifrelemesinde kullanmak için bir S / MIME sertifikası oluşturmam gerekiyor. Sertifika Yetkilisi'ni istemiyorum, umurumda değil. Sadece hızlı ve kirli bir sertifika istiyorum. Bu mümkün mü (OPENSSL, vb. Kullanarak) veya tüm süreç beni tam ölçekli bir CA kurmaya veya bir sertifika için bir şirketle (örneğin Verisign, Thawte) anlaşma yapmaya zorlayan daha yüksek bir otoriteye mi dayanıyor? Kriterlerim anında tatmin ve ücretsiz.

En iyi.

email  mac-osx  encryption  osx-snow-leopard  certificate-authority 
humble_coder
kaynak
1
O Not senin sertifika S / MIME iki amaçla kullanılır. İmzalamak için sizin e-postalar ve gönderilen şifresini e-postaya size bir başkası tarafından. E-postayı başka birine şifrelemek için sertifikalarına ihtiyacınız olacaktır. Tipik olarak, e-posta istemcileri önceden belirlenmiş bazı CA gruplarına güvenmek için kutudan çıkarılır. Sertifikalar bunlardan biri tarafından imzalanmazsa, en azından kötü bir mesaj ve hatta muhtemelen çalışmayan bir sistem alırsınız.
James Reinstate Monica Polk
1
Bunun daha eski bir soru olduğunu biliyorum, ancak gelecekteki referans için GPGMail eklentisi artık Snow Leopard üzerinde çalışıyor gpgtools.org/installer/index.html
Jason Whitehorn
Bunun eski bir yorum olduğunu biliyorum - ancak GPGMail artık OSX için ücretsiz değil.
nycynik

Yanıtlar:

23

Evet, Apple Mail'in GPG'yi desteklememesi berbat. :-( Keşke GPG şifreli e-postayı da tercih ettiğim için yaptım.

Ayrıca, S / MIME ile ilgili ve kendi e-posta sertifikalarınızı oluşturmanın zor olduğunu kabul ediyorum. Paul Bramscher'ın web sayfasının kendi Sertifika Yetkilisi sertifikanızı nasıl oluşturacağınıza ilişkin iyi bir açıklaması olduğunu buldum .

Sertifika sürecini tam olarak anlamıyormuş gibi yapmıyorum, ancak bir araya getirmeyi başardım. Aşağıda gösterilen komutların her biri hakkında daha ayrıntılı bilgi için openssl kılavuzuna bakmalısınız.

Sertifika Yetkilisi Oluştur

İlk adım kendi Sertifika Yetkilinizi (CA) oluşturmaktır. Komutlar…

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

ve komutları izleyin.

Şifrelenmiş e-postanızın her alıcısına CA'nızın sertifikasını (yani ca.crt içeriği) vermeniz gerekir. Şifrelenmiş e-postanıza güvenilmesi için alıcıların CA sertifikanızı yüklemesi ve güvenmesi gerekir. Yükleme, kullanılan her posta istemcisi için değişiklik gösterir.

Durumunuzda, CA'nızın sertifikasını Apple Anahtarlığınıza eklemeniz gerekir. Web'de, Apple Anahtarlık'ta bir CA sertifikasının nasıl içe aktarılacağı ve güvenileceği hakkında birçok yayın var.

Kişisel E-Posta Sertifikası İsteği Oluşturma

Şimdi bir sertifika isteği oluşturmanız gerekir. E-posta göndermek istediğiniz her e-posta adresi için bir tane oluşturun. Aşağıdaki komutları yürütün…

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

ve komutları izleyin.

Sertifika Yetkilisi Sertifika İsteğinizi İmzaladı

Kişisel sertifikanızın CA'nız tarafından imzalanması gerekir. Bu durumda, sen!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

Çıktı imzalı sertifikanızdır.

Sertifikanızı Posta Uygulamanıza Aktarmaya Hazırlayın

Sertifikanızı .crt(PEM biçiminde, sanırım) 'den .p12(PCKS12 biçimine) dönüştürmeniz gerekir.

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

Artık *.p12*biçimlendirilmiş sertifikanızı posta istemcinize alabilirsiniz. Sizin durumunuzda, *.p12*dosyayı Apple Anahtarlık içine aktarın . Sertifika doğru bir şekilde yüklendikten sonra Apple Mail sertifikanızı kullanmaya başlayacaktır.

Daha kolay bir yol var

Elbette, kendi CA'nızı oluşturduktan sonra, kendi Sertifika Yetkiliniz tarafından oluşturulan sertifikaları yönetmenin daha kolay bir yolu vardır. openssl adlı bir komut dosyası ile birlikte gelir…

# /usr/lib/ssl/misc/CA.pl

kendi Sertifika Yetkiliniz olma sürecini basitleştirir. CA.pl için bir adam sayfası bile var!

hükümlü
kaynak
Sertifika Yetkilisi, Sertifika İsteğinizi İmzalar bölümünde. "-CAKey" bağımsız değişkeni "-CAkey" olmalıdır ve en azından küçük harfli 'k' olmalıdır - en azından
sürümüm
2
-CAKey değerini -CAkey olarak değiştirdim. Bu gerçekten mükemmel bir cevap, ancak GPG ile ilgili yan yorum haksız. S / MIME'nin GPG'ye göre birçok avantajı vardır. Daha geniş desteğin yanı sıra, yerleşik bir sertifika dağıtım mekanizması sağlayan, imzalanan her mesajın bulunduğu sertifikayı içerir.
vy32
Sertifika için bazı kısıtlamalar
koymayı
8

Ücretsiz ve bir CA tarafından imzalanmış: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

Andrew McGregor
kaynak
1
Commodo, tarayıcınızın özel paylaşımı paylaşmadan CSR oluşturmasına izin vermek için <keygen> etiketini kullanır. Çoğu modern tarayıcıda işe yaramaz (ör. Chrome 49+).
mhvelplund
Sayfadan alıntı yapın: “ Sertifikanızı toplamak için lütfen Mozilla® Firefox® veya Microsoft® Internet Explorer® 8+ kullanın. E-posta Sertifikalar olamaz Google ® Chrome® veya Microsoft Edge'dir kullanılarak toplanabilir. ”. Bu , MDN'nin uyumluluk tablosuyla eşleşir .
Franklin Yu
safari kullanarak çalışır.
nycynik
1

Diğerlerinin söylediği gibi, cevap kesinlikle evet. Bunu openssl yoluyla oluşturabilir veya ücretsiz x509 e-posta sertifikası veren sağlayıcılardan birini kullanabilirsiniz.

Bununla birlikte, en önemli soru şudur: E-posta alışverişinde bulunduğunuz kullanıcılar ne kullanıyor? Özgür yazılım topluluğunda aktifim, bu yüzden e-posta alışverişi yaptığım insanların çoğu GPG kullanıyor. S / MIME kullandığını bildiklerim, iş e-postalarında kurumsal politika olarak yapıyorlar.

E-posta gönderdiğiniz kişiler S / MIME kullanmıyorsa, şifreleyemezsiniz ve imzalı e-postaları doğrulayamazlar.

David
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.