Puis-je créer mon propre certificat S / MIME pour le chiffrement des e-mails? [fermé]


19

J'ai un petit problème ici. Soyez indulgent, car il peut s'agir de «ne pas poser la bonne question».

Contexte: utiliser Apple Mail. Vous voulez crypter / décrypter les e-mails, mais GPGMail (et apparemment PGP) n'est pas pris en charge avec Snow Leopard.

Fondamentalement, je dois créer un certificat S / MIME pour une utilisation dans le cryptage des e-mails. Je ne veux pas et je ne me soucie pas d'une autorité de certification. Je veux simplement un certificat rapide et sale. Est-ce même possible (en utilisant OPENSSL, etc.) ou l'ensemble du processus dépend-il d'une autorité supérieure me forçant à créer une autorité de certification à grande échelle ou à traiter avec une entreprise (par exemple Verisign, Thawte) pour un certificat? Mes critères sont la gratification instantanée et gratuite.

Meilleur.


1
Notez que votre certificat est utilisé à deux fins dans S / MIME. Pour signer vos e - mails, et Décrypter email envoyé à vous par quelqu'un d' autre. Pour crypter le courrier électronique à quelqu'un d'autre, vous aurez besoin de son certificat. En règle générale, les clients de messagerie sont prêts à l'emploi pour approuver un ensemble prédéterminé d'autorités de certification. Si les certificats ne sont pas signés par l'un d'eux, vous obtiendrez au moins un message désagréable et peut-être même un système qui ne fonctionne pas.
James Reinstate Monica Polk

1
Je sais que c'est une question plus ancienne, mais pour référence future, le plugin GPGMail fonctionne maintenant sur Snow Leopard gpgtools.org/installer/index.html
Jason Whitehorn

Je sais que c'est un commentaire plus ancien - mais GPGMail n'est plus gratuit pour OSX.
nycynik

Réponses:


23

Ouais, ça craint qu'Apple Mail ne prenne pas en charge GPG. :-( J'aurais aimé que ce soit le cas car je préfère également les e-mails chiffrés par GPG.

J'accepte également que les informations concernant S / MIME et la génération de vos propres certificats de messagerie soient difficiles à obtenir. J'ai trouvé que la page Web de Paul Bramscher a une bonne description de la façon de créer votre propre certificat d'autorité de certification.

Je ne prétends pas comprendre pleinement le processus de certification, mais c'est ce que j'ai pu reconstituer. Vous devriez consulter la page de manuel openssl pour des informations plus détaillées sur chacune des commandes ci-dessous.

Créer une autorité de certification

La première étape consiste à créer votre propre autorité de certification (CA). Les commandes sont…

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

et suivez les invites.

Vous devrez délivrer le certificat de votre autorité de certification (c'est-à-dire le contenu de ca.crt ) à chaque destinataire de votre e-mail crypté. Les destinataires devront installer et faire confiance à votre certificat CA afin que votre e-mail chiffré soit approuvé. L'installation variera pour chaque client de messagerie utilisé.

Dans votre cas, vous devrez ajouter le certificat de votre autorité de certification à votre trousseau Apple. Il existe de nombreuses publications sur le Web sur la façon d'importer et d'approuver un certificat d'autorité de certification dans le trousseau Apple.

Créer une demande de certificat de courrier électronique personnel

Vous devez maintenant créer une demande de certificat. Créez-en une pour chaque adresse e-mail à partir de laquelle vous souhaitez envoyer un e-mail. Exécutez les commandes suivantes…

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

et suivez les invites.

L'autorité de certification signe votre demande de certificat

Votre certificat personnel doit être signé par votre autorité de certification. Dans ce cas, vous!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

La sortie est votre certificat signé.

Préparez votre certificat pour l'importation dans votre application de messagerie

Vous devez convertir votre certificat de .crt(format PEM, je pense) en .p12(format PCKS12).

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

Vous pouvez maintenant importer votre *.p12*certificat formaté dans votre client de messagerie. Dans votre cas, importez le *.p12*fichier dans le trousseau Apple. Une fois le certificat correctement installé, Apple Mail commencera à utiliser votre certificat.

Il existe un moyen plus simple

Bien sûr, une fois que vous avez créé votre propre autorité de certification, il existe un moyen plus simple de gérer les certificats créés par votre propre autorité de certification. openssl est livré avec un script nommé…

# /usr/lib/ssl/misc/CA.pl

ce qui simplifie le processus d'être votre propre autorité de certification. Il y a même une page de manuel pour CA.pl!


Dans la section Autorité de certification signe votre demande de certificat. L'argument "-CAKey" doit être "-CAkey" avec une minuscule "k" - au moins pour ma version Open SSL 1.0.0a 1 juin 2010
KevM

2
J'ai changé -CAKey en -CAkey. C'est une excellente réponse, mais le commentaire secondaire sur GPG est sans réserve. S / MIME présente de nombreux avantages par rapport à GPG. Outre une prise en charge plus large, il inclut le certificat avec chaque message signé, fournissant un mécanisme de distribution de certificats intégré.
vy32

N'oubliez pas de définir certaines restrictions pour le certificat, voir security.stackexchange.com/a/30069/3272
Tobias Kienzler

8

Gratuit et signé par une autorité de certification: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html


1
Commodo utilise la balise <keygen> pour permettre à votre navigateur de faire un CSR sans partager la clé privée. Cela ne fonctionne pas dans la plupart des navigateurs modernes (par exemple, Chrome 49+).
mhvelplund

Citation de la page: « Veuillez utiliser Mozilla® Firefox® ou Microsoft® Internet Explorer® 8+ pour récupérer votre certificat. Les certificats de messagerie ne peuvent pas être collectés à l'aide de Google® Chrome® ou Microsoft Edge. ". Cela correspond à la table de compatibilité de MDN .
Franklin Yu

fonctionne en utilisant safari.
nycynik

1

Comme d'autres l'ont dit, la réponse est évidemment oui. Vous pouvez le générer via openssl, ou vous pouvez utiliser l'un des fournisseurs qui fournit un certificat de messagerie x509 gratuit.

Cela étant dit, la question la plus importante est: à quoi servent les personnes avec lesquelles vous échangez des e-mails? Je suis actif dans la communauté du logiciel libre, donc la plupart des gens avec qui j'échange des e-mails utilisent GPG. Les seuls que je connais qui utilisent S / MIME le font sur leur messagerie professionnelle dans le cadre de la politique de l'entreprise.

Si les personnes que vous envoyez par e-mail n'utilisent pas S / MIME, vous ne pourrez pas les chiffrer et elles ne pourront pas vérifier les e-mails signés.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.