Come condivido la mia chiave pubblica S / MIME?

6

Ho impostato la crittografia S / MIME per il mio indirizzo email e vorrei consentire alle persone di scaricare la chiave pubblica dal mio sito web, piuttosto che dover prima ricevere una email da me.

Voglio la chiave pubblica accanto all'indirizzo email nella pagina "contattami" del mio sito Web.

Esiste un formato / estensione di file comunemente supportato da vari programmi di posta elettronica compatibili con S / MIME?

    
posta Abhi Beckert 29.08.2013 - 02:36
fonte

1 risposta

5

Per un singolo certificato, un formato codificato PEM è comune, questo è il testo / base64 delimitato da:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

La maggior parte dei sistemi dovrebbe accettare .crt e .pem estensioni per questo tipo di file, il primo è leggermente preferibile per un certificato, anche .cer può funzionare.

PEM è una codifica di dati che usa base64 per i dati, il formato binario sottostante è denominato Formato DER . I certificati in formato DER vengono spesso denominati con .der , ma possono essere denominati con .crt o .cer .

PEM e DER sono codifiche, talvolta vengono usate le estensioni .der e .pem , indipendentemente dal tipo (i) dei dati codificati. A volte l'estensione indica la natura dei dati (certificato, chiave, CRL), ma non la codifica ...

Quando MIME è coinvolto (come sarà con HTTP e allegati e-mail), anche il tipo MIME è una considerazione importante, alcuni client possono fare affidamento su, o preferiscono questo, per determinare l'azione per un file.

Il formato PEM ha delimitatori che indicano la natura dei dati e si presta a "raggruppare" più oggetti codificati PEM in un singolo file. Questo è spesso usato per fornire più certificati correlati, ad es. una catena di CA (ma non tutto elaborerà tutti i certificati in tale file) o una coppia di chiavi / chiavi. PKCS # 7 o CMS (Cryptographic Message Syntax) è il modo preferito di incapsulare le cose, in pratica è per firmato e / o crittografato messaggi, ma è valido perché non contenga messaggi, solo certificati.

Ti raccomando:

  • rendi disponibile il tuo certificato in un file codificato PEM con un'estensione .crt
  • controlla il server web I mapping MIME sono presenti e corretti
  • opzionalmente crea e rende disponibile un file .p7b contenente la catena CERT e CA, questo consentirà ai client di aggiornare / installare qualsiasi cosa mancante dalla cache CA intermedia locale e abilitare verifica corretta della catena

Diversamente dal PGP e presumibilmente correlato al diverso meccanismo di progettazione e distribuzione, non è comune pubblicare un'impronta digitale del certificato, sebbene sia possibile farlo, e si può anche pubblicare lo SKI (identificatore chiave soggetto) per essere accurato.

Se non hai familiarità con l'uso di OpenSSL, questo sito di riferimento o questo strumento online e il riferimento ai comandi dovrebbero aiutare nella conversione. Non caricare in nessun caso un file .key o .pfx ; -)

    
risposta data 29.08.2013 - 08:54
fonte