Можно ли как то подписывать исх почту wildcard сертификатом?

Question

[Вася Пупкин]

Есть домен, есть центр сертификации, были куплены usb токены, чтобы пользователи ходили не по паролю, а по ключу. Настроили, раскидали сертификаты пользователей (созданные в центре) по USB. Все логинятся - все работает.
Так же есть возможность подписывать почту этим же сертификатом, вот только это локальный сертификат и нормально будет это работать только внутри домена, если отправить подписанное сообщение на внешку то клиент его пометит как спам потому что нельзя проверить сертифиткат, т.к. он выдан локальным центром.
Самый очевидный вариант - это конечно заказать кучу именных сертификатов, который будут соответстовать почте сотрудников, но какой тогда смысл в локальном центре. Если будет 200 пользователей, то придется покпать 200 сертификатов.
Нет ли варианта какого-то по типу wild-card? Купил сертификат на домен и просто на основе его создал остальные?
Как вообще можно еще реализовать это?

Answer 1

[CityCat4]

Нет ли варианта какого-то по типу wild-card?

Нет.

По трем причинам.

1. Сертификат для домена может оказаться без нужного EKU (Extended Key Usage). Для удостоверения сервера обычно используется EKU TLS Web Server Authentication, а для подписи/шифрования почты нужен EKU E-Mail Protection - а вовсе не факт, что CA его пропишет в сертификате, скорее всего нифига.
2. Клиент электронной почты не сможет использовать сертификат, в котором emailAddress в поле Subject не совпадает с тем мылом, на которое пытаетесь настроить - он его тупо не будет признавать (Outlook не будет находить, будет делать ерунду, TB будет игнорировать)
3. Коммерческие CA тоже прекрксно знают о том, что для защиты почты нужен каждому персональный сертификат и именно поэтому продают их поштучно :) Хотя у GlobalSign например есть услуга корпоративного PKI - тебе дают типо промежуточного CA, корневой у которого - GlobalSign и в пределах некоторой емкости ты выпускаешь сертификаты. За деньги, ессно.

Answer 2

[Vladimir Zhurkin]

Можно. Это называется s/mime для писем.
Те кто не понимает формат s/mime просто будут получать дополнительный файл.

https://sectigo.com/enterprise/sectigo-certificate...

и да, s/mime лучше делать для каждого отдельный.
Платить за дополнительные сертификаты не надо (хотя у кого как)

Comments

[Вася Пупкин]

так суть в том что сертификаты будут выпущены локально, какой смысл в них, если их никто не признает.
Получает полюбому придется выпускать отдельные сертификаты.

[Vladimir Zhurkin]

Вася Пупкин, ссылка выше, вы можите выпустить себе сертифкат на почту для вашего домена, что бы понять как это работает. Конечно, самоподписанный будет актуален только в вашем узком кругу.