क्या मैं ईमेल एन्क्रिप्शन के लिए अपना खुद का S / MIME सर्टिफिकेट बना सकता हूं? [बन्द है]

19

बन्द है। यह सवाल ऑफ टॉपिक है । यह वर्तमान में उत्तर स्वीकार नहीं कर रहा है।

इस प्रश्न को सुधारना चाहते हैं? प्रश्न अपडेट करें तो यह है -विषय पर सर्वर दोष के लिए।

पिछले साल बंद हुआ ।

मैं यहाँ एक समस्या का एक सा कर रहा हूँ। मेरे साथ सहन करें क्योंकि यह "सही सवाल नहीं पूछने" का मामला हो सकता है।

पृष्ठभूमि: Apple मेल का उपयोग करना। ईमेल को एन्क्रिप्ट / डिक्रिप्ट करना चाहते हैं लेकिन GPGMail (और जाहिर तौर पर PGP) स्नो लेपर्ड के साथ समर्थित नहीं है।

मूल रूप से मुझे ईमेल एन्क्रिप्शन में उपयोग के लिए S / MIME प्रमाणपत्र बनाने की आवश्यकता है। मैं नहीं चाहता और न ही मुझे एक सर्टिफिकेट अथॉरिटी की परवाह है। मुझे बस एक त्वरित और गंदा प्रमाणपत्र चाहिए। क्या यह भी संभव है (OPENSSL, आदि का उपयोग करके) या पूरी प्रक्रिया एक उच्च अधिकारी पर टिका है या तो मुझे एक पूर्ण-स्तरीय CA सेट करने के लिए मजबूर कर रहा है या एक कंपनी (उदाहरण के लिए, Verisign, Thawte) से प्रमाणित करने के लिए? मेरे मानदंड तत्काल संतुष्टि, और मुफ्त हैं।

श्रेष्ठ।

— humble_coder
स्रोत

1

ध्यान दें कि आपका प्रमाणपत्र S / MIME में दो उद्देश्यों के लिए उपयोग किया जाता है। अपने ईमेल पर हस्ताक्षर करने के लिए , और किसी अन्य व्यक्ति द्वारा आपको भेजे गए ईमेल को डिक्रिप्ट करने के लिए । किसी और को ईमेल एन्क्रिप्ट करने के लिए, आपको उनके प्रमाणपत्र की आवश्यकता होगी। आमतौर पर, ईमेल क्लाइंट सीए के कुछ पूर्व निर्धारित सेट पर भरोसा करने के लिए बॉक्स से बाहर सेट होते हैं। यदि प्रमाणपत्र इनमें से किसी एक पर हस्ताक्षर नहीं करता है, तो आपको कम से कम एक गंदा संदेश मिलेगा और संभवतः एक गैर-कार्य प्रणाली भी।

— जेम्स ने मोनिका पोल्क

1

मुझे पता है कि यह एक पुराना सवाल है, लेकिन भविष्य के संदर्भ के लिए, GPGMail प्लगइन अब स्नो लेपर्ड gpgtools.org/installer/index.html

— जेसन व्हाइटहॉर्न

मुझे पता है कि यह एक पुरानी टिप्पणी है - लेकिन अब GPGMail OSX के लिए मुफ़्त नहीं है।

— nycynik

23

हाँ, यह बेकार है कि Apple मेल GPG का समर्थन नहीं करता है। :-( मेरी इच्छा है कि मैंने ऐसा इसलिए किया क्योंकि मुझे GPG एन्क्रिप्टेड ई-मेल भी पसंद है।

मैं यह भी मानता हूं कि S / MIME के आस-पास की जानकारी और आपके स्वयं के ई-मेल प्रमाणपत्र बनाने से मुश्किल है। मैंने पाया कि पॉल ब्राम्शर के वेबपेज में आपके स्वयं के प्रमाणपत्र प्राधिकरण प्रमाणपत्र बनाने का एक अच्छा विवरण है।

मैं पूरी तरह से प्रमाण पत्र की प्रक्रिया को समझने का दिखावा नहीं करता, लेकिन यह वह है जो मैं एक साथ करने में सक्षम हूं। आपको नीचे दिखाए गए प्रत्येक कमांड के बारे में अधिक विस्तृत जानकारी के लिए खुलने वाले मैनपेज से परामर्श करना चाहिए।

प्रमाणपत्र प्राधिकरण बनाएं

पहला कदम है कि आप अपना प्रमाणपत्र प्राधिकरण (सीए) बनाएं। आदेश हैं ...

# openssl genrsa -des3 -out ca.key 4096
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

और संकेतों का पालन करें।

आपको अपने एन्क्रिप्टेड ई-मेल के प्रत्येक प्राप्तकर्ता को CA का प्रमाणपत्र (यानी ca.crt की सामग्री ) जारी करना होगा। प्राप्तकर्ताओं को आपके CA प्रमाणपत्र को स्थापित और भरोसा करना होगा ताकि आपके एन्क्रिप्टेड ई-मेल पर भरोसा किया जा सके। उपयोग किए गए प्रत्येक मेल क्लाइंट के लिए इंस्टॉलेशन अलग-अलग होगा।

आपके मामले में, आपको अपने CA के प्रमाणपत्र को अपने Apple Keychain में जोड़ना होगा। Apple किचेन में CA प्रमाणपत्र को आयात करने और उस पर भरोसा करने के बारे में वेब पर बहुत सारी पोस्ट हैं।

व्यक्तिगत ई-मेल प्रमाणपत्र अनुरोध बनाएँ

अब आपको एक प्रमाणपत्र अनुरोध बनाने की आवश्यकता है। प्रत्येक ई-मेल पते के लिए एक बनाएं जिससे आप ई-मेल भेजना चाहते हैं। निम्न आदेश निष्पादित करें ...

# openssl genrsa -des3 -out humble_coder.key 4096
# openssl req -new -key humble_coder.key -out humble_coder.csr

और संकेतों का पालन करें।

प्रमाणपत्र प्राधिकरण आपके प्रमाणपत्र अनुरोध पर हस्ताक्षर करता है

आपके व्यक्तिगत प्रमाण पत्र पर आपके सीए द्वारा हस्ताक्षर किए जाने की आवश्यकता है। इस मामले में, आप!

# openssl x509 -req -days 365 -in humble_coder.csr -CA ca.crt -CAkey ca.key \
  -set_serial 1 -out humble_coder.crt -setalias "Humble Coder's E-Mail Certificate" \
  -addtrust emailProtection \
  -addreject clientAuth -addreject serverAuth -trustout

आउटपुट आपका हस्ताक्षरित प्रमाणपत्र है।

आपके मेल आवेदन में आयात करने के लिए अपना प्रमाण पत्र तैयार करें

आपको अपना प्रमाणपत्र .crt(पीईएम प्रारूप, मुझे लगता है) से .p12(पीसीकेएस 12 प्रारूप) में बदलना होगा।

# openssl pkcs12 -export -in humble_coder.crt -inkey humble_coder.key \
  -out humble_coder.p12

अब आप अपने *.p12*स्वरूपित प्रमाण पत्र को अपने मेल क्लाइंट में आयात कर सकते हैं । आपके मामले में, *.p12*फ़ाइल को Apple किचेन में आयात करें । एक बार प्रमाणपत्र सही तरीके से स्थापित हो जाने के बाद, Apple मेल आपके प्रमाणपत्र का उपयोग करना शुरू कर देगा।

एक आसान तरीका है

बेशक, एक बार जब आप अपना खुद का सीए बना लेते हैं तो आपके खुद के सर्टिफिकेट अथॉरिटी द्वारा बनाए गए सर्टिफिकेट को मैनेज करने का एक आसान तरीका है। खुलता है एक स्क्रिप्ट नाम के साथ आता है ...

# /usr/lib/ssl/misc/CA.pl

जो आपके प्रमाणपत्र प्राधिकारी होने की प्रक्रिया को सरल करता है। CA.pl के लिए एक आदमी पेज भी है!

— मिद्धदोष अपराधी
स्रोत

अनुभाग में प्रमाणपत्र प्राधिकारी आपके प्रमाणपत्र अनुरोध पर हस्ताक्षर करता है। "-कैकी" तर्क को "के -कीक" होने की जरूरत है, एक कम मामले 'के' के साथ - कम से कम मेरे संस्करण के लिए खोलें SSL 1.0.0a 1 Jun 2010

— केव्म

2

मैं बदल गया -काकी से। यह वास्तव में उत्कृष्ट उत्तर है, लेकिन GPG के बारे में पक्ष-टिप्पणी अनुचित है। GPG पर S / MIME के कई फायदे हैं। व्यापक समर्थन के अलावा, इसमें प्रत्येक हस्ताक्षरित संदेश के साथ प्रमाण पत्र शामिल है, एक अंतर्निहित प्रमाण पत्र वितरण तंत्र प्रदान करता है।

— vy32

प्रमाण पत्र के लिए कुछ प्रतिबंध लगाना न भूलें, सुरक्षा

— stackexchange.com/a/30069/3272

8

एक CA द्वारा नि: शुल्क और हस्ताक्षरित: http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

— एंड्रयू मैकग्रेगर
स्रोत

1

कमोडो अपने कुंजीशब्द को निजीकरण को साझा किए बिना CSR बनाने के लिए <keygen> टैग का उपयोग करता है। यह अधिकांश आधुनिक ब्राउज़रों में काम नहीं करता है (जैसे क्रोम 49+)।

— मवेलपंड

पृष्ठ से उद्धरण: “ कृपया अपना प्रमाण पत्र लेने के लिए Mozilla® Firefox® या Microsoft® Internet Explorer® 8+ का उपयोग करें। ईमेल प्रमाणपत्र Google® Chrome® या Microsoft Edge का उपयोग करके एकत्र नहीं किया जा सकता है। "। यह एमडीएन से संगतता तालिका से मेल खाता है ।

— फ्रैंकलिन यू

सफारी का उपयोग कर काम करता है।

— 23

1

जैसा कि अन्य लोगों ने कहा है, इसका उत्तर स्पष्ट रूप से हां है। आप इसे ओपनएसएल के माध्यम से उत्पन्न कर सकते हैं, या आप उन प्रदाताओं में से एक का उपयोग कर सकते हैं जो एक मुफ्त x509 ईमेल प्रमाणपत्र देते हैं।

यह कहा जा रहा है, सबसे महत्वपूर्ण सवाल यह है: आप जिन लोगों को ईमेल का उपयोग करते हैं, वे क्या करते हैं? मैं फ्री सॉफ्टवेयर समुदाय में सक्रिय हूं, इसलिए अधिकांश लोग मैं GPG उपयोग के साथ ईमेल का आदान-प्रदान करता हूं। मेरे द्वारा उपयोग किए जाने वाले S / MIME को केवल वही जानते हैं जो कॉर्पोरेट नीति के विषय के रूप में अपने कार्य ईमेल पर ऐसा करते हैं।

यदि आप जिन लोगों को ईमेल कर रहे हैं, वे S / MIME का उपयोग नहीं करते हैं, तो आप उन्हें एन्क्रिप्ट नहीं कर पाएंगे, और वे हस्ताक्षर किए गए ईमेल सत्यापित नहीं कर पाएंगे।

— डेविड
स्रोत