Недавний релиз Thunderbird (где-то между 27 и 31) сломал мой самозаверяющий CA, который использовался, чтобы поручиться за мои самоподписанные ключи.

Я использую самоподписанные сертификаты для общения с семьей. Они работали годами.

Теперь приходит подписанное сообщение со значком запечатанного конверта:

запечатанный конверт с красным крестом

Нажав на нее, вы получите:

сообщение о том, что сертификату не доверяют для такого рода вещей

Если я смотрю сертификат, я вижу:

детали сертификата, показывающие, что все в порядке

Так что, кажется, доверяют как CA.

Другой признак: когда я отправляю по почте пользователя, которому принадлежит самозаверяющий закрытый ключ, который рассчитывает на этот самозаверяющий центр сертификации, я получаю сообщение «Не удалось найти сертификаты для всех получателей, отключить шифрованное сообщение?"

Опять же, все это работало нормально до обновления.

|источник

1 ответ1

0

Боже, ну, это было больно. Часы прошли!

Как говорит Thunderbird, он верит, что CA поручится за SSL-сертификаты ... ТОЛЬКО SSL сертификаты!

В openssl.cnf есть опции для "keyUsage" и "extendedKeyUsage". Но я не смог их распознать в /etc/ssl/openssl.cnf.

Используя openssl x509 -in mykey.crt -text я не смог проверить, работает ли этот параметр.

Хитрость в том, чтобы создать локальный файл с именем basic.cnf:

[ req ]
default_bits           = 2048
distinguished_name     = req_distinguished_name
prompt                 = no


[ req_distinguished_name ]
C                      = {Country}
ST                     = {Provice/State}
L                      = {City}
O                      = {Org}
OU                     = {Org Unit}
CN                     = user@domain.com
emailAddress           = user@domain.com

Вероятно, может быть еще более урезанным, что это. Очевидно, что по умолчанию, поставляемый с Ubuntu 14.04, ограничено использование ключа. Потому что с этим я могу использовать свои обычные заклинания для создания ключей и сертификатов, но с новой опцией -config, чтобы указать на этот урезанный файл конфигурации:

KEYNAME=test_key
openssl genrsa -des3 -out ${KEYNAME}_private.pem 1024 -config basic.cnf
openssl req -new -key ${KEYNAME}_private.pem -out ${KEYNAME}.csr
openssl x509 -req -days 3650 -in ${KEYNAME}.csr -signkey ${KEYNAME}_private.pem -out ${KEYNAME}.crt
openssl pkcs12 -export -inkey ${KEYNAME}_private.pem -in ${KEYNAME}.crt -out ${KEYNAME}.p12

Затем, импортируя .crt в Thunderbird, я вижу это сейчас:

И снова все устраивает (после импорта новых ключей и т.д.)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .