@billybons2006

Как с помощью openssl создать самодписанный сертификат S/MIME, который подойдет к iPhone?

Суть вопроса: как с помощью openssl создавать самоподписанные сертификаты S/MIME для почты, которые можно было бы использовать в iPhone?

Есть openssl и дефолтный конфиг.

Создаю CA:
openssl genrsa -aes256 -out mail-ca.key 4096
openssl req -new -x509 -days 3650 -key mail-ca.key -out mail-ca.crt
(mail-ca.crt я потом устанавливаю в корневые доверенные сертификаты)

Создаю секретный ключ клиента:
openssl genrsa -aes256 -out client.key 4096

Создаю запрос сертификата:
openssl req -new -key client.key -out client.csr

Выпускаю сертификат client.crt:
openssl x509 -sha256 -req -days 3650 -in client.csr -CA mail-ca.crt -CAkey mail-ca.key \
-set_serial 1 -out client.crt -setalias "E-Mail Certificate" \
-addtrust emailProtection -addreject clientAuth -addreject serverAuth -trustout

Экспортирую сертификат в формат PKCS12:
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12

Ок, все вроде бы так.

Но прикол в том, что в Windows в Outlook я могу импортировать и использовать для подписи/шифрования сертификат client.crt (или client.p12, импорт и так и так работает), а в iPhone для S/MIME - ну никак.

Я выпускал сертификат в Comodo, он зараза - работает и импортируется. А самоподписанный - ни в какую...

Я понимаю, что что-то простое ускользает от меня, но что - не пойму.

Добавлено 15.01.16 Чуть-чуть сдвинулся в решении: чтобы iPhone при импорте клиентского сертификата не ругался, его надо преобразовать в формат DER:
openssl x509 -outform der -in client.crt -out client.der

Импорт client.der проходит нормально. Но! Даже после импорта (создается профиль) я не могу использовать его для S/MIME. Подозреваю, что при выпуске сертификата client.crt надо задавать какие-то дополнительные параметры, чтобы назначение сертификата было однозначное. Но вот как это указать, я пока не знаю.
  • Вопрос задан
  • 1155 просмотров
Решения вопроса 1
@billybons2006 Автор вопроса
Отбой, ребята. Вопрос решен :)
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы