Подписание электронной почты с использованием коммерческого SSL-сертификата

Question

Подписание электронной почты с использованием коммерческого SSL-сертификата

Я подумываю об обеспечении своей рабочей среды сертификатами и, таким образом, у меня есть пара вопросов.

Мой домен Active Directory является domain.com. Если я куплю коммерческий подстановочный SSL-сертификат у COMODO, возможно ли создать пользовательский сертификат S/MIME (после установки CA на контроллере домена: dc.domain.com)?

Путь сертификации будет: COMODO CA -> Промежуточный CA -> *.domain.com -> user@domain.com

Это выполнимо или я должен купить индивидуальный сертификат для каждого пользователя от COMODO? Если это так, можно ли доверять сертификату вне моей организации?

Второй вопрос касается развертывания S/MIME-сертификатов. Существует ли объект групповой политики для распространения пользовательских сертификатов, присоединения его к учетной записи электронной почты и публикации GAL?

Спасибо за любые предложения.

1

ssl-certificate outlook smime

Источник

badboy 11 окт '16 в 08:18

1 ответ

Другие вопросы по тегам ssl-certificate outlook smime

Crypt32 11 окт '16 в 14:17 2016-10-11 14:17 · Answer 1 · 2016-10-11 14:17

Нет, так не получится. Сертификаты, приобретенные вами в коммерческих центрах сертификации, не имеют права подписывать другие сертификаты. Чтобы подписать другие сертификаты, ваш сертификат должен иметь Basic Constraints продление сертификата с isCA бит установлен в 1. Однако для всех сертификатов, приобретенных у коммерческих провайдеров, этот бит установлен в 0. Хотя технически возможно создать такую конфигурацию, она не будет работать из-за сбоя проверки сертификата.

Вы должны приобрести отдельный сертификат для каждого почтового адреса.

после установки CA на контроллере домена: dc.domain.com

На заметку: НИКОГДА не устанавливайте CA на контроллеры домена. Если он установлен, он должен быть установлен на выделенном сервере.