Necesito crear un certificado para el cifrado y la firma del correo electrónico que debe ser utilizado por Outlook 2003+. Estoy usando OpenSSL, mi CA raíz autofirmada ya se importa al almacén de CA raíz de confianza. Estos son mis pasos para crear un archivo de identidad p12 importable por Outlook:
openssl req -batch -newkey rsa:1024 -keyout KEY.key -out KEY.csr \
-nodes -config openssl.cnf &&\
openssl x509 -req -sha1 -days 1000 -in KEY.csr -CA ca.crt -CAkey ca.key \
-set_serial 1 -out KEY.crt -setalias "FRIENDLY_NAME" \
-clrtrust -addtrust emailProtection \
-addreject clientAuth -addreject serverAuth -trustout &&\
openssl pkcs12 -export -in KEY.crt -inkey KEY.key" -out KEY.p12 \
-name "FRIENDLY_NAME" -passout pass:PASSWD &&\
chmod 0600 KEY_CN.{key,p12} &>/dev/null
Aquí está el segmento relevante de mi openssl.cnf
:
[ usr_cert ]
basicConstraints = CA:FALSE
authorityKeyIdentifier = keyid
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = critical, emailProtection
subjectAltName = email:copy
authorityKeyIdentifier = keyid
subjectKeyIdentifier = hash
Inspeccioné otro archivo p12 válido para obtener esta configuración, y la opción -name
cli en la tercera declaración de openssl anterior.
Mi problema: Outlook todavía se ahoga con esto (aunque es válido en Thunderbird). No tengo el mensaje de error en inglés (aunque podría proporcionar el alemán), estas son las traducciones aproximadas de los diálogos que veo:
- "Otorgar el uso de una clave para la aplicación: conceder / no conceder" (puede mostrar detalles clave en la parte inferior izquierda, indica que no hay descripción ni información de contexto)
- "Repita el procedimiento. No se puede acceder a la clave protegida, asegúrese de que la contraseña especificada sea válida". (¡Lo hice, incluso probé todas las variaciones posibles de contraseña / sin contraseña en openssl y Outlook! Para el siguiente paso, me dirijo al primer cuadro de diálogo y hago clic en "Cancelar")
- "Error en el sistema de seguridad subyacente. ¡Acceso denegado!"
Mi configuración actual en Outlook: Firme correos electrónicos, transfiera texto y firma en texto simple y adjunte el certificado. También restringí el uso de certificados a secureEmail y deshabilité OCSP. Al importar el certificado (y en la generación) usé exactamente la misma contraseña para cada solicitud de contraseña y la misma descripción que friendlyName, CN y alias (tal vez esto pueda ser diferente, simplemente no quise arriesgarme nada al intentarlo). / p>
Realmente no entiendo lo que a Outlook no le gusta / quiere decirme. Si es necesario, con mucho gusto le proporcionaré detalles adicionales.
¡Gracias!