Frage Kann ich ein eigenes S / MIME-Zertifikat für die E-Mail-Verschlüsselung erstellen? [geschlossen]


Ich habe hier ein kleines Problem. Halten Sie mit mir, da dies ein Fall sein kann "nicht die richtige Frage zu stellen".

Hintergrund: Verwenden von Apple Mail. Sie möchten E-Mails verschlüsseln / entschlüsseln, aber GPGMail (und anscheinend PGP) wird von Snow Leopard nicht unterstützt.

Grundsätzlich muss ich ein S / MIME-Zertifikat für die Verwendung in der E-Mail-Verschlüsselung erstellen. Ich will und sorge mich nicht um eine Zertifizierungsstelle. Ich möchte einfach ein kurzes und schmutziges Zertifikat. Ist das überhaupt möglich (mit OPENSSL usw.) oder hängt der gesamte Prozess von einer höheren Autorität ab, die mich dazu zwingt, entweder eine umfassende CA einzurichten oder mit einem Unternehmen (z. B. Verisign, Thawte) für ein Zertifikat zusammenzuarbeiten? Meine Kriterien sind sofortige Befriedigung und kostenlos.

Beste.


18
2018-01-16 03:37


Ursprung


Beachten Sie, dass Ihre Zertifikat wird für zwei Zwecke in S / MIME verwendet. Unterschreiben Ihre E-Mails und entschlüsseln gesendete E-Mails für dich von jemand anderem. Um E-Mails an andere Personen zu verschlüsseln, benötigen Sie ihr Zertifikat. In der Regel werden E-Mail-Clients standardmäßig eingerichtet, um bestimmten CAs zu vertrauen. Wenn Zertifikate von einem dieser nicht signiert werden, erhalten Sie mindestens eine böse Nachricht und möglicherweise sogar ein nicht funktionierendes System. - James K Polk
Ich weiß, dass dies eine ältere Frage ist, aber für zukünftige Referenz funktioniert GPGMail Plugin jetzt auf Snow Leopard gpgtools.org/installer/index.html - Jason Whitehorn
Ich weiß, das ist ein älterer Kommentar - aber GPGMail ist nicht mehr kostenlos für OSX. - nycynik


Antworten:


Ja, es ist scheiße, dass Apple Mail GPG nicht unterstützt. :-( Ich wünschte es wäre, weil ich GPG verschlüsselte E-Mail auch bevorzuge.

Ich stimme auch zu, dass Informationen rund um S / MIME und die Erstellung eigener E-Mail-Zertifikate schwer zu bekommen sind. ich fand Paul Bramschers Webseite hat eine gute Beschreibung, wie Sie Ihr eigenes Certificate Authority-Zertifikat erstellen können.

Ich gebe nicht vor, den Zertifikatsprozess vollständig zu verstehen, aber das konnte ich zusammenfügen. Weitere Informationen zu den einzelnen unten aufgeführten Befehlen finden Sie auf der Manpage zu openssl.

Zertifizierungsstelle erstellen

Der erste Schritt besteht darin, eine eigene Zertifizierungsstelle (CA) zu erstellen. Die Befehle sind ...

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

und folge den Anweisungen.

Sie müssen das Zertifikat Ihrer Zertifizierungsstelle ausstellen (dh den Inhalt von ca.crt) an jeden einzelnen Empfänger Ihrer verschlüsselten E-Mail. Die Empfänger müssen Ihr CA-Zertifikat installieren und ihm vertrauen, damit Ihre verschlüsselte E-Mail vertrauenswürdig ist. Die Installation variiert für jeden verwendeten Mail-Client.

In Ihrem Fall müssen Sie das Zertifikat Ihrer Zertifizierungsstelle Ihrem Apple Keychain hinzufügen. Es gibt viele Posts im Web darüber, wie man ein CA-Zertifikat in den Apple Keychain importiert und ihm vertraut.

Erstellen Sie eine persönliche E-Mail-Zertifikatsanforderung

Sie müssen nun eine Zertifikatsanforderung erstellen. Erstellen Sie für jede E-Mail-Adresse, von der Sie eine E-Mail senden möchten, eine. Führe die folgenden Befehle aus ...

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

und folge den Anweisungen.

Zertifizierungsstelle signiert Ihre Zertifikatsanfrage

Ihr persönliches Zertifikat muss von Ihrer Zertifizierungsstelle unterzeichnet werden. In diesem Fall, du!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

Die Ausgabe ist Ihr signiertes Zertifikat.

Bereiten Sie Ihr Zertifikat für den Import in Ihre Mail-Anwendung vor

Sie müssen Ihr Zertifikat von konvertieren .crt (PEM-Format, denke ich) zu .p12 (PCKS12-Format).

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

Sie können jetzt Ihre importieren *.p12* formatiertes Zertifikat in Ihren Mail-Client. In Ihrem Fall importieren Sie die *.p12* Datei in den Apple Schlüsselbund. Sobald das Zertifikat korrekt installiert wurde, verwendet Apple Mail das Zertifikat.

Es gibt einen einfacheren Weg

Sobald Sie Ihre eigene Zertifizierungsstelle erstellt haben, können Sie natürlich Zertifikate einfacher verwalten, die von Ihrer eigenen Zertifizierungsstelle erstellt wurden. openssl kommt mit einem Skript namens ...

# /usr/lib/ssl/misc/CA.pl

Dies vereinfacht den Prozess, Ihre eigene Zertifizierungsstelle zu sein. Es gibt sogar eine Manpage für CA.pl!


21
2018-01-16 09:49



Im Abschnitt Zertifizierungsstelle signiert Ihre Zertifikatsanforderung. Das "-CAKey" Argument muss "-CAkey" mit einem Kleinbuchstaben "k" sein - zumindest für meine Version Open SSL 1.0.0a 1 Jun 2010 - KevM
Ich habe -CAKey in -CAkey geändert. Dies ist eine wirklich ausgezeichnete Antwort, aber die Nebenbemerkung über GPG ist nicht gerechtfertigt. S / MIME hat viele Vorteile gegenüber GPG. Neben umfassenderer Unterstützung enthält es das Zertifikat für jede signierte Nachricht und bietet einen integrierten Mechanismus für die Zertifikatsverteilung. - vy32
Vergessen Sie nicht, einige Einschränkungen für das Zertifikat festzulegen, siehe security.stackexchange.com/a/30069/3272 - Tobias Kienzler


Kostenlos und Von einer Zertifizierungsstelle signiert: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html


8
2018-01-16 06:23



Commodo verwendet den <keygen> -Tag, damit Ihr Browser eine CSR erstellen kann, ohne den privaten Schlüssel zu teilen. Das funktioniert nicht in den meisten modernen Browsern (z. B. Chrome 49+). - mhvelplund
Zitat von der Seite: "Verwenden Sie Mozilla® Firefox® oder Microsoft® Internet Explorer® 8+, um Ihr Zertifikat zu sammeln. E-Mail-Zertifikate kann nicht mit Google® Chrome® oder Microsoft Edge gesammelt werden.". Das entspricht dem Kompatibilitätstabelle von MDN. - Franklin Yu
arbeitet mit Safari. - nycynik


Wie andere gesagt haben, ist die Antwort offensichtlich ja. Sie können es über openssl generieren, oder Sie können einen der Anbieter verwenden, der ein kostenloses x509 E-Mail-Zertifikat gibt.

Die wichtigste Frage ist jedoch: Wozu verwenden die Leute, mit denen Sie E-Mails austauschen? Ich bin in der Free-Software-Community aktiv, so dass die meisten Leute, mit denen ich E-Mails tausche, GPG verwenden. Die einzigen, von denen ich weiß, dass sie S / MIME verwenden, tun dies in ihrer geschäftlichen E-Mail als eine Angelegenheit der Unternehmenspolitik.

Wenn die Personen, an die Sie E-Mails senden, S / MIME nicht verwenden, können Sie diese nicht verschlüsseln und signierte E-Mails nicht überprüfen.


1
2017-11-14 16:12