Posso criar meu próprio certificado S / MIME para criptografia de e-mail? [fechadas]

18

Estou tendo um problema aqui. Fique comigo, pois isso pode ser um caso de "não fazer a pergunta certa".

Histórico: usando o Apple Mail. Deseja criptografar / descriptografar emails, mas o GPGMail (e aparentemente o PGP) não é compatível com o Snow Leopard.

Basicamente eu preciso criar um certificado S / MIME para uso na criptografia de e-mail. Eu não quero, nem me importo com uma autoridade de certificação. Eu simplesmente quero um certificado rápido e sujo. Isso é mesmo possível (usando OPENSSL, etc) ou todo o processo depende de uma autoridade superior me forçando a configurar uma CA em grande escala ou a negociar com uma empresa (por exemplo, Verisign, Thawte) para um certificado? Meus critérios são gratificação instantânea e gratuitos.

Melhor.

    
por humble_coder 16.01.2010 / 04:37

3 respostas

21

Sim, é uma droga que o Apple Mail não suporta GPG. :-( Eu gostaria, porque eu prefiro o e-mail criptografado com GPG também.

Também concordo que é difícil obter informações sobre o S / MIME e gerar seus próprios certificados de e-mail. Eu encontrei o site de Paul Bramscher tem uma boa descrição de como criar seu próprio certificado de autoridade de certificação.

Eu não pretendo entender completamente o processo do certificado, mas é isso que consegui juntar. Você deve consultar a página de manual do openssl para obter informações mais detalhadas sobre cada um dos comandos mostrados abaixo.

Criar autoridade de certificação

O primeiro passo é criar sua própria autoridade de certificação (CA). Os comandos são…

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

e siga as instruções.

Você precisará emitir o certificado da sua CA (ou seja, o conteúdo de ca.crt ) para cada um dos destinatários do seu email criptografado. Os destinatários terão que instalar e confiar em seu certificado de CA para que seu e-mail criptografado seja confiável. A instalação irá variar para cada cliente de email usado.

No seu caso, você precisará adicionar o certificado da sua CA ao seu Apple Keychain. Há muitas postagens na web sobre como importar e confiar em um certificado de CA no Apple Keychain.

Criar solicitação de certificado de e-mail pessoal

Agora você precisa criar uma solicitação de certificado. Crie um para cada endereço de e-mail que você deseja enviar e-mail. Execute os seguintes comandos…

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

e siga as instruções.

Autoridade certificadora assina seu pedido de certificado

Seu certificado pessoal precisa ser assinado pela sua CA. Neste caso, você!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

A saída é seu certificado assinado.

Prepare seu certificado para importação em seu aplicativo de email

Você precisa converter seu certificado de .crt (formato PEM, eu acho) para .p12 (formato PCKS12).

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

Agora você pode importar seu certificado *.p12* formatado para seu cliente de e-mail. No seu caso, importe o arquivo *.p12* para o Apple Keychain. Depois que o certificado for instalado corretamente, o Apple Mail começará a usar seu certificado.

Existe uma maneira mais fácil

É claro que, depois de criar sua própria autoridade de certificação, existe uma maneira mais fácil de gerenciar os certificados criados pela sua própria autoridade de certificação. openssl vem com um script chamado…

# /usr/lib/ssl/misc/CA.pl

que simplifica o processo de ser sua própria autoridade de certificação. Existe até uma página de manual para o CA.pl!

    
por 16.01.2010 / 10:49
8

Gratuito e assinado por uma CA: link

    
por 16.01.2010 / 07:23
1

Como outros já disseram, a resposta é obviamente sim. Você pode gerá-lo via openssl, ou você pode usar um dos provedores que fornece um certificado de e-mail x509 gratuito.

Dito isto, a questão mais importante é: com o que as pessoas trocam emails com o uso? Sou ativo na comunidade de software livre, então a maioria das pessoas que trocam e-mails usam o GPG. Os únicos que eu conheço que usam o S / MIME fazem isso em seus emails de trabalho como uma questão de política corporativa.

Se as pessoas que você enviar por e-mail não usarem o S / MIME, você não poderá criptografá-las e elas não poderão verificar os e-mails assinados.

    
por 14.11.2011 / 17:12