He configurado el cifrado S / MIME para mi dirección de correo electrónico, y me gustaría permitir que las personas descarguen la clave pública de mi sitio web, en lugar de tener que recibir primero un correo electrónico de mi parte.
Quiero la clave pública junto a la dirección de correo electrónico en la página "contácteme" de mi sitio web.
¿Existe un formato / extensión de archivo comúnmente compatible con varios programas de correo electrónico compatibles con S / MIME?
Para un solo certificado, un formato codificado PEM es común, este es el texto / base64 que está delimitado por:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
La mayoría de los sistemas deben aceptar las extensiones .crt y .pem para este tipo de archivo, la primera es ligeramente preferible para un certificado, .cer también puede funcionar.
PEM es una codificación de datos que utiliza base64 para los datos, el formato binario subyacente se conoce como Formato DER . Los certificados en formato DER a menudo se nombran con .der , pero también se pueden nombrar con .crt o .cer .
PEM y DER son codificaciones, las extensiones .der y .pem se usan a veces, independientemente del tipo (s) de los datos codificados. A veces, la extensión indica la naturaleza de los datos (certificado, clave, CRL), pero no la codificación ...
Cuando MIME está involucrado (como lo estará con HTTP y los archivos adjuntos de correo electrónico), el tipo MIME también es una consideración importante, algunos clientes pueden confiar en, o preferir esto, para determinar la acción para un archivo.
El formato PEM tiene delimitadores que indican la naturaleza de los datos y se presta para "agrupar" varios objetos codificados en PEM en un solo archivo. Esto se usa a menudo para proporcionar múltiples certificados relacionados, por ejemplo. una cadena de CA (pero no todo procesará todos los certificados en dicho archivo), o un par certificado / clave. PKCS # 7 o CMS (Sintaxis de mensajes criptográficos) es la forma preferida de encapsular cosas, teóricamente está firmado y / o encriptado mensajes, pero es válido para que no contenga ningún mensaje, solo certificados.
Te recomiendo:
.crt .p7b que contiene el certificado y la cadena CA. Esto permitirá a los clientes actualizar / instalar cualquier cosa que falte en su caché de CA intermedia local y habilitar verificación adecuada de la cadena
A diferencia de PGP, y presumiblemente relacionado con los diferentes mecanismos de diseño y distribución, no es común publicar una huella digital de certificado, aunque puede hacerlo, y también puede publicar su SKI (Identificador de clave de asunto) para que sea exhaustivo.
Si no está familiarizado con el uso de OpenSSL, este sitio de referencia o esta herramienta en línea y la referencia de comando deberían ayudar con la conversión. No subas bajo ninguna circunstancia un archivo .key o .pfx ;-)
Lea otras preguntas en las etiquetas public-key-infrastructure key-management key-exchange smime