У меня есть сертификат S/MIME от StartSSL, который я экспортировал из браузера, импортировал в свою связку ключей, и, как и ожидалось, Mail.app теперь подписывает мои исходящие сообщения.
Однако у некоторых клиентов возникают проблемы с доверием к этому сертификату. Я отследил проблему до того, что приложенный smime.p7s не полный.
Действительный smime.p7s для сертификата от startupsl содержит два сертификата — полную цепочку сертификатов до корня. Пример:
$ cat valid.eml | openssl smime -pk7out | openssl pkcs7 -print_certs
subject=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/description=aBcDeFg1234/CN=example@domain.com/emailAddress=example@domain.com
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Однако smime.p7, который Mail.app прикрепляет к моим электронным письмам, имеет только второй сертификат, привязанный к моей учетной записи, и пропускает другой, который необходим многим клиентам для проверки подписи.
Любые идеи, как я могу это исправить?
Вам необходимо добавить этот http://www.startssl.com/certs/sub.class2.client.ca.crt сертификат в цепочку ключей OS X. После этого ваши сообщения будут содержать оба сертификата.
Проблема в том, что сертификаты StartCom PKCS12 неверны. Они должны предоставить текущий промежуточный ЦС, который является действительным, но вместо этого срок действия их промежуточного ЦС истек в 2012 году, и они предлагают вам загрузить другой промежуточный ЦС с их веб-сайта. StartCom должен обновить свои системы.
без холма
изобретательный
Вакко