Devo creare un certificato per la crittografia e la firma delle e-mail che deve essere utilizzato da Outlook 2003+. Sto utilizzando OpenSSL, la mia CA radice autofirmata è già stata importata nell'archivio di fiducia della CA principale. Questi sono i miei passi per creare un file di identità p12 importabile da Outlook:
openssl req -batch -newkey rsa:1024 -keyout KEY.key -out KEY.csr \
-nodes -config openssl.cnf &&\
openssl x509 -req -sha1 -days 1000 -in KEY.csr -CA ca.crt -CAkey ca.key \
-set_serial 1 -out KEY.crt -setalias "FRIENDLY_NAME" \
-clrtrust -addtrust emailProtection \
-addreject clientAuth -addreject serverAuth -trustout &&\
openssl pkcs12 -export -in KEY.crt -inkey KEY.key" -out KEY.p12 \
-name "FRIENDLY_NAME" -passout pass:PASSWD &&\
chmod 0600 KEY_CN.{key,p12} &>/dev/null
Ecco il segmento pertinente del mio openssl.cnf
:
[ usr_cert ]
basicConstraints = CA:FALSE
authorityKeyIdentifier = keyid
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = critical, emailProtection
subjectAltName = email:copy
authorityKeyIdentifier = keyid
subjectKeyIdentifier = hash
Ho ispezionato un altro file p12 valido per ottenere queste impostazioni e l'opzione -name
cli nella terza istruzione openssl di cui sopra.
Il mio problema: Outlook soffoca ancora su questo (è valido in Thunderbird, però). Non ho il messaggio di errore in inglese (potrebbe fornire quello tedesco, però), queste sono le traduzioni approssimative delle finestre di dialogo che vedo:
- "Concedi l'uso di una chiave per l'applicazione: Concedi / non concedere" (potresti mostrare i dettagli chiave in basso a sinistra - dice che non c'è descrizione e nessuna informazione di contesto)
- "Ripeti la procedura Non è possibile accedere alla chiave protetta, assicurati che la password specificata sia valida." (L'ho fatto - ho persino provato ogni possibile variazione di password / nessuna password in openssl e Outlook! Per il prossimo passaggio, torno alla prima finestra di dialogo e clicco su "Annulla")
- "Errore nel sistema di sicurezza sottostante. Accesso negato!"
La mia attuale configurazione in Outlook: Firma le e-mail, trasferisci il testo e la firma in testo in chiaro e allega il certificato. Ho anche limitato l'uso dei certificati per proteggere Email e disabilitare OCSP. Quando ho importato il certificato (e sulla generazione) ho usato la stessa identica password per ogni richiesta di password e la stessa descrizione di friendlyName, CN e alias (forse questi possono essere diversi, semplicemente non volevo rischiare nulla durante il tentativo).
Davvero non capisco ciò che Outlook non mi piace / vuole dirmi. Se necessario, fornirò volentieri ulteriori dettagli.
Grazie!