Inhaltsverzeichnis

Scenarij 3.4: Izdavanje S/MIME certifikata

Kategorija: Izdavanje certifikata
Složenost: ⭐⭐⭐ (Srednje-Visoka)
Preduvjeti: CSR s e-mail adresom
Procijenjeno vrijeme: 10-15 minuta

Opis

Ovaj scenarij opisuje izdavanje S/MIME certifikata za šifriranje i potpisivanje e-pošte. S/MIME certifikati omogućuju sigurnu komunikaciju putem e-pošte kroz digitalne potpise i šifriranje.

Funkcije:

Primjer koda (C#)

using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ;
 
using var ctx = PqCryptoContext.Initialize();
 
var caCert = ctx.LoadCertificate("user-ca.crt.pem");
var caKey = ctx.LoadPrivateKey("user-ca.key.pem", "CaPassword!");
 
var csr = ctx.LoadCertificateRequest(File.ReadAllText("smime.csr.pem"));
 
// Izdavanje S/MIME certifikata
var smimeCert = ctx.IssueCertificate(
    csr,
    issuerCert: caCert,
    issuerKey: caKey,
    serialNumber: ctx.GenerateSerialNumber(),
    validDays: 365,
    extensions: new ExtBuilder()
        .BasicConstraints(ca: false, critical: true)
        // Key Usage za potpisivanje I šifriranje
        .KeyUsage(
            KeyUsageFlags.DigitalSignature |
            KeyUsageFlags.KeyEncipherment |
            KeyUsageFlags.DataEncipherment,
            critical: true
        )
        // Extended Key Usage: Email Protection
        .ExtendedKeyUsage(ExtKeyUsage.EmailProtection)
        // E-mail adresa kao SAN (OBAVEZNO za S/MIME!)
        .SubjectAlternativeName(new[] {
            "email:max.mustermann@example.com"
        })
        .SubjectKeyIdentifier(csr.PublicKey)
        .AuthorityKeyIdentifier(caCert)
        .Build()
);
 
smimeCert.ToPemFile("smime.crt.pem");
 
// PFX za uvoz u e-mail klijent
var pfx = ctx.ExportToPfx(smimeCert, smimeKey, new[] { caCert }, "Password!");
File.WriteAllBytes("smime.pfx", pfx);

Tipovi S/MIME certifikata

Tip Validacija Uporaba
Class 1 Kontrola e-pošte Osobno, besplatno
Class 2 Provjera identiteta Poslovno
Class 3 Proširena provjera Enterprise, Kvalificirano

Detalji Key Usage

Oznaka Uporaba kod S/MIME
digitalSignature Potpisivanje e-pošte
keyEncipherment Šifriranje Session ključa (RSA)
dataEncipherment Izravno šifriranje podataka
nonRepudiation Pravno valjan potpis (opcionalno)

Uvoz u Outlook / Thunderbird

1. Dvostruki klik na PFX datoteku
2. Slijediti čarobnjaka za uvoz
3. Unijeti lozinku
4. "Automatski odaberi spremište"
5. U Outlooku: Datoteka → Mogućnosti → Trust Center → Sigurnost e-pošte

Povezani scenariji

Odnos Scenarij Opis
Povezano 8.1 Potpisivanje dokumenta E-pošta kao dokument
Povezano 7.1 Hibridno šifriranje Šifriranje e-pošte
Preduvjet 2.2 Klijentski CSR CSR s e-poštom

« ← 3.3 Code-Signing | ↑ Pregled certifikata | 3.5 Wildcard certifikat → »

, , , , ,

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional