web-dev-qa-db-ja.com

S / MIME公開キーを共有するにはどうすればよいですか?

メールアドレスにS/MIME暗号化を設定しました。最初に私からメールを受け取る必要はなく、ウェブサイトから公開キーをダウンロードできるようにしたいと思います。

ウェブサイトの「お問い合わせ」ページのメールアドレスの横に公開鍵が必要です。

さまざまなS/MIME互換メールプログラムで一般的にサポートされているファイル形式/拡張子はありますか?

6
Abhi Beckert

単一の証明書の場合、PEMエンコード形式が一般的です。これは、以下で区切られているtext/base64の形式です。

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

ほとんどのシステムでは、このファイルの種類に対して.crtおよび.pem拡張子を受け入れる必要があります。前者の方が証明書としては少し望ましいですが、.cerも機能する場合があります。

PEMは、データにbase64を使用したデータのエンコーディングであり、基礎となるバイナリ形式は DER形式 と呼ばれます。 DER形式の証明書は、しばしば.derで命名されますが、.crtまたは.cerで命名されることもあります。

PEMおよびDERはエンコーディングであり、エンコードされたデータのタイプに関係なく、.derおよび.pemという拡張子が使用されることがあります。拡張子はデータの性質(証明書、キー、CRL)を示しますが、エンコードは示しません...

MIMEが関係する場合(HTTPや電子メールの添付ファイルの場合と同様)、MIMEタイプも重要な考慮事項であり、一部のクライアントはこれに依存するか、これを好む場合があります。ファイルのアクション。

PEM形式には、データの性質を示す区切り文字があり、1つのファイルに複数のPEMエンコードオブジェクトを「バンドル」するのに適しています。これは、複数の関連する証明書を提供するためによく使用されます。 CAチェーン(すべてがそのようなファイル内のすべての証明書を処理するわけではありません)、または証明書とキーのペア。 PKCS#7または CMS(暗号化メッセージ構文) は、カプセル化の推奨される方法です。これは、概念的には、署名付きまたは暗号化されたメッセージ用ですが、メッセージを含まず、証明書のみを含めることもできます。

私はあなたをお勧めします:

  • 証明書を.crt拡張子の付いたPEMエンコードファイルで利用できるようにする
  • webサーバーをチェックしてください MIMEマッピングが存在し、正しい
  • 必要に応じて、証明書とCAチェーンを含む.p7bファイルを作成して使用可能にします。これにより、クライアントはローカルの中間CAキャッシュにないものを更新/インストールし、 チェーンの適切な検証 を有効にすることができます

PGPとは異なり、おそらく異なる設計および配布メカニズムに関連していると思われますが、証明書のフィンガープリントを公開することは一般的ではありませんが、公開することもでき、完全なSKI(Subject Key Identifier)を公開することもできます。

OpenSSLの使用に慣れていない場合は、 このリファレンスサイト または このオンラインツールとコマンドリファレンス が変換に役立ちます。 いかなる場合も.keyまたは.pfxファイルをアップロードしないでください;-)

5
mr.spuratic