Domande su CA e richieste di certificati

0

Ho esaminato l'elenco di diversi siti StackExchange e questo mi è sembrato il posto migliore per porre questa domanda, anche se se c'è un posto migliore per favore fatemelo sapere!

Recentemente ho passato il processo di ottenere un certificato SSL / TLS per un nuovo server di posta elettronica. Questo è stato un processo abbastanza semplice, e capisco i fondamenti dietro tutto questo.

Sono anche interessato ad ottenere un certificato di posta elettronica, ovvero un certificato che un programma come Thunderbird può utilizzare per crittografare e decrittografare le email. Ho anche le chiavi PGP, e sì, posso usare un plugin per crittografare il testo e poi inviarlo via email, ma questo è parzialmente per l'apprendimento e parzialmente per le opzioni.

Usando Kleopatra, sono in grado di creare un file di richiesta certificato (.p10). Tuttavia, non riesco a trovare una singola CA che menzioni questi file sul loro sito web. Quello che Kleopatra / GPG consiglia sul loro sito web è cacert.org, che in realtà sembra un'ottima opzione - tranne che non riesco a farla generare un certificato. Continua a dire che non è stato possibile trovare una richiesta di certificato valida! Eppure il mago non l'ha mai nemmeno menzionato o chiesto.

Qualcuno qui ha creato con successo un certificato per la firma / la crittografia delle e-mail? Ho provato a utilizzare uno degli altri servizi gratuiti, come Comodo, ma poiché non ho la chiave privata utilizzata per creare la richiesta di certificato, Thunderbird non lo accetterà. Quindi andando sulla rotta Kleopatra. Esiste un tutorial sul sito Web cacert che utilizza un'utilità chiamata XCA, tuttavia non è stato possibile importare le mie chiavi esistenti poiché non accetta le chiavi di armatura ascii e le altre opzioni di esportazione da GPG4Win non sono opzioni di importazione accettabili in XCA. Non voglio davvero creare una chiave completamente nuova solo per creare un certificato email, specialmente se non riesco a mantenere quella chiave sul portachiavi esistente.

Ogni pensiero, aiuto o consiglio è estremamente apprezzato!

    
posta Aurelius 19.08.2016 - 16:55
fonte

1 risposta

1

Devi generare tu stesso la chiave privata e il CSR derivato. Questo è stato progettato per impedire alla CA di conoscere la tua chiave privata (potrebbero generare tutto da sé e fornirti un .p12 facile da usare, ma ciò potrebbe compromettere la non ripudio).

Usando OpenSSL, puoi generare una chiave privata come questa:

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -aes-256-cbc -out mykey.key

Questo cifrerebbe la chiave - dovrai inserire la sua password ogni volta che un programma la accede.

Per generare il CSR dalla chiave, procedi come segue:

openssl req -new -out mycsr.csr -key mykey.key

Invia alla CA e dovresti recuperare il certificato.

Se non desideri crittografare la chiave privata puoi omettere l'argomento -aes-256-cbc dal primo comando o usare questo comando all-in-one per generare una chiave e una CSR a allo stesso tempo:

openssl req -new -out mycsr.csr -keyout mykey.key
    
risposta data 19.08.2016 - 17:06
fonte

Leggi altre domande sui tag