Как с помощью openssl создать самодписанный сертификат S/MIME, который подойдет к iPhone?

Question

[billybons2006]

Суть вопроса: как с помощью openssl создавать самоподписанные сертификаты S/MIME для почты, которые можно было бы использовать в iPhone?

Есть openssl и дефолтный конфиг.

Создаю CA:
openssl genrsa -aes256 -out mail-ca.key 4096
openssl req -new -x509 -days 3650 -key mail-ca.key -out mail-ca.crt
(mail-ca.crt я потом устанавливаю в корневые доверенные сертификаты)

Создаю секретный ключ клиента:
openssl genrsa -aes256 -out client.key 4096

Создаю запрос сертификата:
openssl req -new -key client.key -out client.csr

Выпускаю сертификат client.crt:
openssl x509 -sha256 -req -days 3650 -in client.csr -CA mail-ca.crt -CAkey mail-ca.key \
-set_serial 1 -out client.crt -setalias "E-Mail Certificate" \
-addtrust emailProtection -addreject clientAuth -addreject serverAuth -trustout

Экспортирую сертификат в формат PKCS12:
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12

Ок, все вроде бы так.

Но прикол в том, что в Windows в Outlook я могу импортировать и использовать для подписи/шифрования сертификат client.crt (или client.p12, импорт и так и так работает), а в iPhone для S/MIME - ну никак.

Я выпускал сертификат в Comodo, он зараза - работает и импортируется. А самоподписанный - ни в какую...

Я понимаю, что что-то простое ускользает от меня, но что - не пойму.

Добавлено 15.01.16 Чуть-чуть сдвинулся в решении: чтобы iPhone при импорте клиентского сертификата не ругался, его надо преобразовать в формат DER:
openssl x509 -outform der -in client.crt -out client.der

Импорт client.der проходит нормально. Но! Даже после импорта (создается профиль) я не могу использовать его для S/MIME. Подозреваю, что при выпуске сертификата client.crt надо задавать какие-то дополнительные параметры, чтобы назначение сертификата было однозначное. Но вот как это указать, я пока не знаю.

Comments

[Алексей С.]

а что мешает делать сертификаты нормальные ? благо что letsencrypt заработал ?
habrahabr.ru/post/270273

[billybons2006]

Алексей С.: Спасибо за отклик! Тут вопрос именно в том, что мешает iPhone принимать созданные самоподписанные сертификаты. Я знаю про letsencrypt.

Кто-то советует в openssl.cnf добавить:

keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth,emailProtection
subjectAltName=email:move

но по какой-то причине эта добавка ничего мне не дает. Добавляю в секцию [ usr_cert ].

[billybons2006]

Алексей С.: Еще добавлю: подписанное письмо отправляю с Outlook на iPhone, на iPhone открываю получателя, устанавливаю доверие к подписи и получатель становиться доверенным. Но я не могу использовать импортированные профили (Настройки - Основные - Профили) для подписи или шифрования писем.

[Алексей С.]

billybons2006: тут я вам не подскажу ( дурацкая привычка: если не работает , обойти проблему и решить по другому :)))

[billybons2006]

Алексей С.: И на том спасибо!

Answer 1

[billybons2006]

Отбой, ребята. Вопрос решен :)

Comments

[Алексей С.]

а расписать ответ ? =)))

[billybons2006]

Э, да, конечно. Я что-то подумал, что ответ никому и не нужен! Так вот, надо создать файлик с директивами, например, client-conf.cnf:
basicConstraints = CA:FALSE
keyUsage = critical,digitalSignature, keyEncipherment
subjectAltName = email:copy
extendedKeyUsage=emailProtection

openssl x509 -sha256 -req -days 3650 -in client.csr -CA mail-ca.crt -CAkey mail-ca.key \
-set_serial 1 -out client.crt -setalias "E-Mail Certificate" -trustout \
-extfile ./openssl-client-options.cnf

Вот. При этом создается сертификат спецом для защиты почты. И при этом iPhone (и другие Apple, полагаю) нормально с ним работают. 3 дня на это убил. И, кстати, как всегда со мной случается, решение нахожу сам же, но пока вопрос задаю, голова немного иначе думать начинает, как будто туман из головы выходит.

[billybons2006]

billybons2006: и еще: при этом не надо ничего править в оригинальном конфиге openssl.cnf, что лично для меня намного лучше, т.к. я не собираюсь создавать полноценный CA, мне нужны несколько сертификатов, но подписанных.