Il mio certificato S / MIME (creato con OpenSSL) non corrisponde al mio indirizzo email

Naviga le tue risposte
6

Ho creato un certificato con OpenSSL e seguenti comandi: 

openssl req   -x509 -nodes -days 365   -subj '/C=DE/ST=state/L=city/CN=hostname'   -newkey rsa:1024 -keyout mycert.pem -out mycert.pem

openssl pkcs12 -export   -out mycert.pfx -in mycert.pem   -name "My Certificate"

E l'ho installato con la mia macchina Windows 7. Poi ho provato a inviare una e-mail crittografata e ho ricevuto un messaggio che non c'è un certificato che corrisponda al mio indirizzo email

Cosa mi manca?

Modifica 1

Grazie per queste intuizioni, Thomas. Ho aggiunto l'indirizzo email ma il messaggio si apre ancora :-( Ho letto anche un certificato di root, ho bisogno di qualcosa del genere?

    
posta Sven 09.02.2012 - 14:59
fonte

2 risposte

5

Un certificato associa una chiave pubblica a una identità . La nozione di identità che S / MIME utilizza è un indirizzo email. In particolare, affinché il tuo certificato sia utilizzabile con S / MIME, dovrebbe contenere il tuo indirizzo email.

L'indirizzo email può essere aggiunto al nome del soggetto (semplice ma ufficialmente ritirato), come questo: 

openssl req -x509 -nodes -days 365 -subj '/C=DE/ST=state/L=city/CN=Sven/[email protected]' -newkey rsa:1024 -keyout mycert.pem -out mycert.pem

o (la "soluzione normale", ma più complessa) come parte di un'estensione "Subject Alt Name" (con OpenSSL, questo richiede l'utilizzo del flag -extensions e di un file di configurazione; vedere la documentazione ).

    
risposta data 09.02.2012 - 15:53
fonte
3

Non utilizzare emailAddress , ma subjectAltName . Puoi farlo con un singolo comando e senza modificare il file openssl.cnf : 

openssl req -x509 \
    -newkey rsa:4096 \
    -sha256 \
    -nodes \
    -days 3650 \
    -keyout smime.key \
    -out smime.crt \
    -subj "/CN=Nobody" \
    -extensions SAN \
    -config <(cat /etc/ssl/openssl.cnf; echo '[SAN]'; echo 'subjectAltName=email:[email protected]')

Per ulteriori informazioni, consulta: Fornisci subjectAltName per openssl direttamente sulla riga di comando

    
risposta data 28.12.2016 - 18:50
fonte

Leggi altre domande sui tag

Clonazione di telefoni cellulari La crittografia di un'impostazione in web.config fornisce effettivamente sicurezza?