2

Я создал пару ключей GPG с GnuPG в командной строке CentOS 7 и экспортировал открытый ключ в файл .asc и успешно использовал этот открытый ключ для шифрования писем, отправленных с другого адреса электронной почты, которые были успешно расшифрованы с использованием закрытого ключа, который был создан вместе с этим открытым ключом.

Итак, как я могу сгенерировать файл открытого ключа, который MS Outlook 2010 примет и сможет успешно использовать для шифрования писем, отправляемых для шифрования с помощью того же закрытого ключа?

Вот что я сделал до сих пор:

  1. Используя putty, я набрал gpg --list-public-keys на серверном терминале. Я заметил, что 12321KP4 был идентификатором ключа pub в результатах gpg --list-public-keys

  2. Затем я набрал gpg --armor --export 12321KP4 > /path/to/username_pubkey.cer .

  3. Затем я набрал cat /path/to/username_pubkey.cer и подтвердил, что на самом деле это набор зашифрованного содержимого.

  4. Я скачал полученный файл username_pubkey.cer .

  5. Я открыл «Outlook 2010».

  6. В «Outlook> Контакты» я открыл форму контакта для контакта, сертификат которого - username_pubkey.cer .

  7. На вкладке «Контакты» в «Показать группу» я нажал «Сертификаты», а затем - «Импорт».

  8. Я выбрал файл username_pubkey.cer и нажал «открыть», но получил следующее сообщение об ошибке:

Как я могу создать ключевой файл, который Outlook может импортировать, а затем успешно использовать для отправки зашифрованных писем, которые можно расшифровать на другом конце?

Обратите внимание, что Thunderbird может сделать это с помощью ключевого файла из этого же ключа. Также обратите внимание, что я хочу сначала вручную импортировать ключ таким образом и подождать до тех пор, пока не разработаю инструменты для отправки ключа по электронной почте. Закрытый ключ находится на сервере, на котором размещено приложение, и мне нужно было бы написать собственный код для отправки открытых ключей по электронной почте. Я хочу подождать, чтобы написать этот код, пока этот подход не заработает в первую очередь.

РЕДАКТИРОВАТЬ

Согласно предложению @ JakeGould, я набрал sudo unix2dos /path/to/username_pubkey.cer /path/to/username_pubkey_dos.cer , но в ответ получил следующее: 

unix2dos: converting file /path/to/username_pubkey.cer to DOS format ...
unix2dos: /path/to/username_pubkey_dos.cer: No such file or directory
unix2dos: Skipping /path/to/username_pubkey_dos.cer, not a regular file.

Как я могу решить это?

|источник

4 ответа4

2

Вы путаете две разные системы цифровых сертификатов. Сертификаты не являются взаимозаменяемыми между двумя системами.

OpenPGP

OpenPGP предоставляет неиерархическую систему доверия, которая не требует централизованных центров сертификации. Это более мощная, но и более сложная система. Большинство почтовых клиентов не поддерживают его «из коробки», и для его использования требуются надстройки.

Каждый может создать свой собственный ключ и подписать его другими.

X.509 и S/MIME

Другой вариант для цифровых сертификатов - X.509, используемый в S/MIME для электронной почты, но также SSL/TLS для транспортного шифрования HTTP и других протоколов. Здесь у вас есть несколько центров сертификации (обычно это несколько сотен), которым вы доверяете (по умолчанию настройки вашего компьютера / почтового клиента) и которые могут поручиться за других (выдать сертификаты), которым вы автоматически доверяете.

Это хорошо подходит для (иерархически организованных) компаний, что, вероятно, является причиной его более широкого распространения. Outlook, Thunderbird и большинство других (разумных) почтовых клиентов поддерживают его по умолчанию.

Есть много центров сертификации, где вы можете купить такой сертификат (действителен в течение определенного периода времени). Я перечисляю только два особенно интересных:

  • StartSSL - это израильская компания, выпускающая бесплатные базовые сертификаты для почты и серверов, но без подтверждения вашего реального идентификатора (только ваш почтовый адрес). Преимущество заключается в том, что им доверяют все основные поставщики браузеров и операционных систем. Сертификаты, включая ваше настоящее имя, доступны по фиксированной ставке около 60 долларов в год. Имейте в виду, что отзыв сертификата (например, в случае, если какой-то третий получил к нему доступ и теперь может написать электронное письмо на ваше имя), стоит около 25 долларов (что также взимается многими другими компаниями).

  • CAcert - это «центр сертификации, управляемый сообществом». Они подтверждают вашу личность другими членами сообщества, согласившимися на это, поэтому вам придется встречаться с другими и показывать свое удостоверение личности, чтобы внести свое имя в сертификат (для получения подробной информации читайте их веб-сайт). Выдача сертификатов и отзыв всегда бесплатны, но недостатком является то, что их корневым сертификатам не доверяют основные операционные системы и почтовые клиенты.

    Может быть выполнимо для ограниченных групп или частного использования, но помните об этой проблеме, если используете ее в коммерческих целях.

|источник
0

Не уверен на 100%, но если сертификат работает где-то еще, это может быть простой случай, когда форматирование строки DOS заканчивается окончанием, а форматирование строки Linux заканчивается окончанием испорченной работы в Outlook 2010.

Я бы порекомендовал установить утилиту unix2dos в CentOS следующим образом:

sudo yum install unix2dos

А затем из командной строки в CentOS выполните команду unix2dos с флагом -n :

unix2dos -n username_pubkey.cer username_pubkey_dos.cer

Затем попробуйте импортировать username_pubkey_dos.cer в Outlook 2010.

|источник
0

Outlook не использует обычные (pgp) закрытые ключи для подписи писем. Для этого он использует сертификаты в стиле SSL и связанные с ними закрытые ключи (подписанные доверенной третьей стороной). Outlook нужен этот сертификат в формате pkcs12. (команда Linux file может подтвердить это)

Это имеет преимущество / недостаток в том, что вы не получаете "сеть доверия", подтверждающую, что закрытый ключ принадлежит тому, кому, по вашему мнению, он принадлежит, и преимущество / недостаток, что вы просто доверяете "доверенной третьей стороне".

Большим недостатком является то, что вам придется платить за сертификат Outlook.

|источник
0

Outlook 2010 может обрабатывать только S/MIME из коробки. Если вы хотите использовать OpenPGP, вам нужен плагин. Для GnuPG есть три варианта

  1. Плагин конфиденциальности Outlook
  2. gpg4o

Первый из них бесплатный и с открытым исходным кодом, но только для смелых. То же самое относится и к плагину, который является частью проекта gpg4win. Если вам нужен хороший рабочий, вы должны попробовать gpg4o, который не бесплатный, но работает бесплатно. Все они должны иметь возможность импортировать ключ, созданный вами под CentOS.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .