이메일 암호화를 위해 자체 S / MIME 인증서를 만들 수 있습니까? [닫은]

여기에 약간의 문제가 있습니다. “올바른 질문을하지 않는”경우 일 수 있기 때문에 저와 함께하십시오.

배경 : Apple Mail 사용. 이메일 암호화 / 암호 해독을 원하지만 Snow Leopard에서는 GPGMail (및 PGP)이 지원되지 않습니다.

기본적으로 전자 메일 암호화에 사용할 S / MIME 인증서를 만들어야합니다. 나는 인증 기관을 원하지 않는다. 나는 단지 빠르고 더러운 인증서를 원합니다. 이것이 가능합니까 (OPENSSL 등 사용) 또는 전체 프로세스가 전체 CA를 설정하거나 인증서 (예 : Verisign, Thawte)와 거래하도록 강요하는 더 높은 권한에 달려 있습니까? 나의 기준은 즉각적인 만족이며 무료입니다.

베스트.



답변

네, Apple Mail은 GPG를 지원하지 않습니다. 🙁 GPG 암호화 이메일도 선호하기 때문에 원했습니다.

또한 S / MIME 관련 정보 및 자체 전자 메일 인증서 생성이 어렵다는 것에 동의합니다. 내가 찾은 폴 Bramscher의 웹 페이지가 자신의 인증 기관 인증서를 만드는 방법의 좋은 설명이있다.

인증서 프로세스를 완전히 이해하지는 못했지만 이것이 함께 조각 할 수 있었던 것입니다. 아래에 표시된 각 명령에 대한 자세한 내용은 openssl 맨 페이지를 참조하십시오.

인증 기관 생성

첫 번째 단계는 자체 인증 기관 (CA)을 작성하는 것입니다. 명령은 …

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

프롬프트를 따릅니다.

암호화 된 전자 메일을받는 모든받는 사람 에게 CA 인증서 (예 : ca.crt 내용 ) 를 발급해야합니다 . 받는 사람은 암호화 된 전자 메일을 신뢰할 수 있도록 CA 인증서를 설치하고 신뢰해야합니다. 설치는 사용 된 각 메일 클라이언트마다 다릅니다.

귀하의 경우, CA 인증서를 Apple Keychain에 추가해야합니다. 웹에는 Apple Keychain에서 CA 인증서를 가져오고 신뢰하는 방법에 대한 많은 게시물이 있습니다.

개인 전자 우편 인증서 요청 작성

이제 인증서 요청을 작성해야합니다. 이메일을 보내려는 각 이메일 주소마다 하나씩 만듭니다. 다음 명령을 실행하십시오…

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

프롬프트를 따릅니다.

인증 기관에서 인증서 요청에 서명

개인 인증서는 CA가 서명해야합니다. 이 경우, 당신!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

출력은 서명 된 인증서입니다.

메일 응용 프로그램으로 가져올 인증서 준비

인증서를 .crt(PEM 형식, 제 생각에는)에서 .p12(PCKS12 형식) 으로 변환해야합니다 .

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

이제 *.p12*형식화 된 인증서를 메일 클라이언트로 가져올 수 있습니다 . 귀하의 경우, *.p12*파일을 Apple 키 체인으로 가져 오십시오 . 인증서가 올바르게 설치되면 Apple Mail에서 인증서 사용을 시작합니다.

더 쉬운 방법이 있습니다

물론 자체 CA를 만든 후에는 자체 인증 기관에서 만든 인증서를보다 쉽게 ​​관리 할 수 ​​있습니다. openssl 은…라는 스크립트와 함께 제공됩니다.

# /usr/lib/ssl/misc/CA.pl

자신의 인증 기관이되는 과정을 단순화합니다. CA.pl에 대한 매뉴얼 페이지도 있습니다!


답변


답변

다른 사람들이 말했듯이 대답은 분명히 그렇습니다. openssl을 통해 생성하거나 무료 x509 이메일 인증서를 제공하는 공급자 중 하나를 사용할 수 있습니다.

가장 중요한 질문은 이메일을주고받는 사람들이 무엇을 사용 하는가? 저는 자유 소프트웨어 커뮤니티에서 활동하고 있으므로 이메일을 교환하는 대부분의 사람들이 GPG를 사용합니다. 내가 아는 유일한 것은 S / MIME을 사용하는 것이 회사 정책의 문제로 업무용 전자 메일에서하는 것입니다.

이메일을 보내는 사람이 S / MIME을 사용하지 않는 경우 S / MIME을 암호화 할 수 없으며 서명 된 이메일을 확인할 수 없습니다.


답변