Ich habe mir ein S/MIME-Zertifikat von StartSSL besorgt, das ich aus dem Browser exportiert, in meinen Schlüsselbund importiert und wie erwartet signiert Mail.app jetzt meine ausgehenden Nachrichten.
Einige Clients scheinen jedoch Probleme zu haben, diesem Zertifikat zu vertrauen. Ich habe das Problem darauf zurückgeführt, dass die angehängte smime.p7s nicht vollständig ist.
Eine gültige smime.p7s für ein Zertifikat von startedsl enthält zwei Zertifikate - die vollständige Zertifikatskette bis zum Stamm. Beispiel:
$ cat valid.eml | openssl smime -pk7out | openssl pkcs7 -print_certs
subject=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/description=aBcDeFg1234/CN=example@domain.com/emailAddress=example@domain.com
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Die smime.p7s, die Mail.app an meine E-Mails anhängt, hat jedoch nur das zweite Zertifikat, das an mein eigenes Konto gebunden ist, und vermisst das andere, was für viele Clients notwendig ist, um die Signatur zu überprüfen.
Irgendwelche Ideen, wie ich das beheben kann?
Sie müssen dieses http://www.startssl.com/certs/sub.class2.client.ca.crt-Zertifikat zu Ihrem OS X-Schlüsselbund hinzufügen. Danach enthalten Ihre Nachrichten beide Zertifikate.
Das Problem ist, dass die PKCS12-Zertifikate von StartCom fehlerhaft sind. Sie sollten eine aktuelle gültige Zwischen-CA bereitstellen, aber stattdessen ist ihre Zwischen-CA 2012 abgelaufen und sie sagen Ihnen, dass Sie eine andere Zwischen-CA von ihrer Website herunterladen sollen. StartCom sollte ihre Systeme aktualisieren.
kein Hang
genial
Wakko