Assinatura por e-mail usando o certificado SSL comercial

1

Estou pensando em proteger meu ambiente de trabalho com certificados e, assim, fazer algumas perguntas.

Meu domínio do Active Directory é domain.com. Se eu comprar um certificado SSL curinga comercial de, por exemplo, COMODO, é possível criar um certificado de usuário S / MIME (depois de instalar a CA no controlador de domínio: dc.domain.com)?

O caminho de certificação seria: COMODO CA - > CA intermediário - > * .domínio.com - > [email protected]

É factível ou devo comprar um certificado individual para cada usuário da COMODO? Em caso afirmativo, o certificado seria confiável fora da minha organização?

A segunda pergunta é sobre a implantação de certificados S / MIME. Existe um GPO para distribuir certificados de usuários, anexá-los à conta de e-mail e publicar GAL?

Obrigado por qualquer sugestão.

    
por badboy 11.10.2016 / 10:18

1 resposta

1

Não, não vai funcionar assim. Certificados adquiridos de CAs comerciais não são qualificados para assinar outros certificados. Para assinar outros certificados, seu certificado deve ter a extensão de certificado Basic Constraints com isCA bit definido como 1. No entanto, todos os certificados comprados de provedores comerciais têm esse bit definido como 0. Embora, tecnicamente, seja possível criá-los configuração, não vai funcionar, por causa da falha de validação do certificado.

Você deve adquirir um certificado separado para cada endereço de e-mail.

after installing CA on the domain controller: dc.domain.com

Apenas para observar: NUNCA instale a CA nos controladores de domínio. Se instalado, ele deve ser instalado em um servidor dedicado.

    
por 11.10.2016 / 16:17