Задать вопрос
@Desert-Eagle
Новичок во всем

Можно ли как то подписывать исх почту wildcard сертификатом?

Есть домен, есть центр сертификации, были куплены usb токены, чтобы пользователи ходили не по паролю, а по ключу. Настроили, раскидали сертификаты пользователей (созданные в центре) по USB. Все логинятся - все работает.
Так же есть возможность подписывать почту этим же сертификатом, вот только это локальный сертификат и нормально будет это работать только внутри домена, если отправить подписанное сообщение на внешку то клиент его пометит как спам потому что нельзя проверить сертифиткат, т.к. он выдан локальным центром.
Самый очевидный вариант - это конечно заказать кучу именных сертификатов, который будут соответстовать почте сотрудников, но какой тогда смысл в локальном центре. Если будет 200 пользователей, то придется покпать 200 сертификатов.
Нет ли варианта какого-то по типу wild-card? Купил сертификат на домен и просто на основе его создал остальные?
Как вообще можно еще реализовать это?
  • Вопрос задан
  • 146 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
//COPY01 EXEC PGM=IEBGENER
Нет ли варианта какого-то по типу wild-card?

Нет.

По трем причинам.

1. Сертификат для домена может оказаться без нужного EKU (Extended Key Usage). Для удостоверения сервера обычно используется EKU TLS Web Server Authentication, а для подписи/шифрования почты нужен EKU E-Mail Protection - а вовсе не факт, что CA его пропишет в сертификате, скорее всего нифига.
2. Клиент электронной почты не сможет использовать сертификат, в котором emailAddress в поле Subject не совпадает с тем мылом, на которое пытаетесь настроить - он его тупо не будет признавать (Outlook не будет находить, будет делать ерунду, TB будет игнорировать)
3. Коммерческие CA тоже прекрксно знают о том, что для защиты почты нужен каждому персональный сертификат и именно поэтому продают их поштучно :) Хотя у GlobalSign например есть услуга корпоративного PKI - тебе дают типо промежуточного CA, корневой у которого - GlobalSign и в пределах некоторой емкости ты выпускаешь сертификаты. За деньги, ессно.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Можно. Это называется s/mime для писем.
Те кто не понимает формат s/mime просто будут получать дополнительный файл.

https://sectigo.com/enterprise/sectigo-certificate...

и да, s/mime лучше делать для каждого отдельный.
Платить за дополнительные сертификаты не надо (хотя у кого как)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы