- PR -

OpenSSLで証明書つくってOutlookでデジタル署名

1|2 次のページへ»
投稿者投稿内容
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2004-10-13 10:41
いつもいろいろ参考にさせていただいております。
メールをデジタル署名対応させようとしてます。しかし、OUTLOOKのOption->Securityの部分で、コンテンツや添付ファイルを暗号化にチェックをいれると、メール送信時に送信先のメール受信者が証明書がないか、暗号方式をサポートしてないというエラーがでてきます。暗号化せずの送信をすると署名そのものは相手にとどいております。

ちなみに、この証明書は独自にOPENSSLを利用してCA局を作成したものです。
いままでブラウザやサーバー(APACHE,STUNNEL)では問題ありませんでした。

デジタルIDの作成(秘密鍵client.key,要求client.csr,証明書client.crt)
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr
CommonNameに自分のメールアドレス MYmail@mycomp.com をいれます
openssl ca -out client.crt -infiles client.csr
最後にcat client.key client.crt | openssl pkcs12 -export -out client.p12 -name "MYmail@mycomp.com"
として作成しました。CAのルート証明書は
別途der FILEでROOT CAはIEの設定のなかにいれてあります。

なにかつくりかたもしくはOUTLOOKでの設定に問題があるのでしょうか?
証明書の送付は問題なく、暗号化だけがうまくいきません

OPENSSLで証明書つくってデジタル証明+暗号化のSECURE MAILを利用しているかたがいましたらどうかご教授いただけませんでしょうか?
最初のキーの作成がまちがっているのでしょうか?
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-10-13 11:22
引用:

openssl req -new -key client.key -out client.csr
CommonNameに自分のメールアドレス MYmail@mycomp.com をいれます


下名は以前
openssl req -new -newkey rsa:1024 -keyout keys/key.key -out csrs/csr.csr
のコマンドで鍵を作成してS/MIMEの試験を行いましたが、うまくいきました。
たぶん、キーの作成のコマンドは問題ないと思いますが
CommonNameにメールアドレスを入れても駄目ではないでしょうか。
OpenSSLでCSRを作成しているときにCommonNameの次にEmail Addressを聞いてきませんでしょうか?
確かそこにメールアドレスを入れてS/MIMEの試験をやった覚えがあるのですが。
丘SE
会議室デビュー日: 2004/04/28
投稿数: 13
投稿日時: 2004-10-13 11:47
引用:

CommonNameにメールアドレスを入れても駄目ではないでしょうか。
OpenSSLでCSRを作成しているときにCommonNameの次にEmail Addressを聞いてきませんでしょうか?
確かそこにメールアドレスを入れてS/MIMEの試験をやった覚えがあるのですが。

>nishiwakiさん
そのメールアドレスはあくまで CommonName として認識されているんでしょうね。
最後に export する時に同じもの入れているので問題が出てないとか。
確かに CommonName の次くらいに Email Address を聞かれますよね。

>たけたんさん
素朴な疑問なんですが、相手から署名付きのメールは受信しましたか?
自分自身に、暗号化メールの送受信は出来るのでしょうか?

# -in とか -inkey を使用せず
# cat client.key client.crt | openssl pkcs12 -export -out client.p12 -name
# でもイケるものなのですね。

[ メッセージ編集済み 編集者: 丘SE 編集日時 2004-10-14 13:18 ]
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-10-13 12:52
引用:

素朴な疑問なんですが、相手から署名付きのメールは受信しましたか?
自分自身に、暗号化メールの送受信は出来るのでしょうか?

OpenSSLで作成した証明書ではないですが、ほぼ同じ内容の証明書で署名付きメールを業務で使用していますし、相手からも重要な内容の場合は署名付きで受信してます。
また、自分自身に対しても署名付き暗号化メールの送信は可能です。

OpenSSLでも一度試しにやりましたが、正常に動作しました。
丘SE
会議室デビュー日: 2004/04/28
投稿数: 13
投稿日時: 2004-10-13 14:19
自分自身に出来るのでしたら、
相手のアドレスと証明書の対応がなされていないのでしょうか。

http://support.microsoft.com/kb/302041/en-us

とか関係ありそうですか?

※すみません、この時は nishiwaki さんが質問者だと
 カンチガイしていました。
 失礼しました。

[ メッセージ編集済み 編集者: 丘SE 編集日時 2004-10-14 13:20 ]
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-10-13 16:38
引用:

自分自身に出来るのでしたら、
相手のアドレスと証明書の対応がなされていないのでしょうか。


302041の文章の現象が起こるのは、下名の環境ではアドレス帳にある連絡先に相手の公開鍵証明書が登録されていない場合です。
もちろん相手の公開鍵証明書は、送信しようとしている宛先のメールアドレスが記述されている必要があります。

Outlookではアドレス帳を開いて、相手の連絡先を開くと名前・アドレスなど入力するフォームで相手の公開鍵証明書をインポートするところもあります。
そこで相手の公開鍵証明書をインポートすれば問題は解決するのではないでしょうか。
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2004-10-14 01:43
Nishiwakiさん、丘SEさんあろがとうございます。
参考になりました。今やっているのが、OUTLOOKにデジタルIDをいれようとしているのです(基本的にはWEBにおけるクライアント証明ににてますね)
大変基本的なことをお聞きしてもうしわけありませんが、
暗号化するには、サーバー(POP、SMTPも対応させないとできないのでしょうか?)
WEBではクライアント証明書だけではSSLで暗号化できずサーバーに
サーバ証明書いれて、はじめてできたとおもったので
すみません、これが原因かもしれません
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2004-10-14 02:03
すみません、まったく勘違いしていたようです。サーバーのSSLとは関係ないですね
(**)
暗号化にはまずお互いがデジタル証明書を交換しなければいけないですね
私の場合は1つのアドレス、1つの証明書で送受信してました。
まず2つのアドレス、2つの証明書で試してみます。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)