Hay detalles detallados en RFC 3850 . En la práctica:
-
Se recomienda incluir su dirección de correo electrónico en su certificado, en una extensión Subject Alt Name
(o posiblemente como un atributo adicional en el subjectDN
pero esto está en desuso). Si el certificado no contiene la dirección de correo electrónico, sus corresponsales tendrán que encontrar otra forma de asociar el certificado con su dirección de correo electrónico, y la mayoría del software tendrá problemas con eso (está destinado a ser admitido, pero dificultará las cosas para otras personas).
-
Si el uso de su certificado está restringido con una extensión Key Usage
, entonces debe permitirse explícitamente digitalSignature
y / o nonRepudiation
en esa extensión.
-
Si el certificado contiene una extensión Extended Key Usage
, entonces debe contener el id-kp-emailProtection
OID (1.3.6.1.5.5.7.3.4) o el especial multiuso anyExtendedKeyUsage
OID (2.5. 29.37.0).
-
Si el certificado es un certificado de firma solamente (contiene una clave DSA DSA o (EC), o está restringido a través de Key Usage
), entonces el correo electrónico encriptación será difícil. Existe (¿era?) Un mecanismo en el que su software genera un par de claves Diffie-Hellman y adjunta la clave pública a los correos electrónicos firmados que envía, permitiendo a los destinatarios cifrar sus respuestas. Esto es, en el mejor de los casos, mal soportado en la naturaleza, y agrega algunos problemas adicionales (como el almacenamiento de la clave privada extra de DH). Por lo tanto, es mejor que use un certificado que sea capaz de cifrar (clave RSA y no restringido con una extensión Key Usage
).
-
En teoría, podría tener dos certificados, uno para cifrado de correo electrónico y otro para firmas de correo electrónico; esto sería una buena idea . Pero se puede encontrar un poco de apoyo en esa área. Se requieren algunas pruebas.
Hubo algunas extensiones específicas de Netscape en épocas anteriores, que fueron necesarias para el uso adecuado por parte de Netscape Communicator, pero ¿quién lo ejecuta hoy en día?