Prerequisiti

  • Un certificato e una chiave privata per la tua organizzazione per firmare i messaggi in uscita e decifrare i messaggi in entrata.

  • Certificati appartenenti ai tuoi contatti, o alla loro autorità di certificazione emittente (CA) per verificare le firme dei messaggi in entrata e crittografare i messaggi in uscita.

Nota

Dove posso ottenere un certificato?

Il modo più semplice per ottenere certificati è acquistare un abbonamento annuale tramite una CA commerciale, come:

Puoi anche generare i tuoi certificati autofirmati, ma il processo è complicato e di solito comporta lavoro aggiuntivo per i tuoi contatti.

Tieni presente che S/MIME funziona solo se anche l’altra parte lo utilizza.

Controlli certificato e chiave privata all’upload

La validazione del certificato e della chiave pubblica si basa sulle estensioni X509v3.

Caricamento di un certificato client?

I seguenti attributi sono quindi richiesti:

  • Nome Alternativo del Soggetto (deve essere presente almeno un indirizzo email)

  • Utilizzo Chiave (Firma Digitale e/o Cifratura Chiave)

  • Algoritmo chiave pubblica (RSA o EC)

L’attributo Uso Esteso Chiave è opzionale. Se il certificato fornisce l’attributo nominato, allora deve contenere il valore Protezione Email.

Si prega di notare che qualsiasi indirizzo email utilizzabile deve essere preceduto da email: o rfc822:.

Gli algoritmi di chiave pubblica nominati sono obbligatori anche per le chiavi private.

Caricamento di un certificato CA?

Nel caso di un certificato CA caricato, fornendo il valore CA:TRUE nell’attributo Vincoli di base, gli attributi menzionati in precedenza non vengono verificati.

In generale, l’uso di qualsiasi certificato scaduto (Non dopo) o non ancora valido (Non prima) è negato per le email in uscita.

Certificato di esempio:
   ...
         Validity
               Not Before: Aug  1 14:20:28 2023 GMT
               Not After : Jul 31 14:20:28 2024 GMT
   ...
         X509v3 extensions:
               X509v3 Basic Constraints:
                  CA:FALSE
               X509v3 Key Usage:
                  Digital Signature, Non Repudiation, Key Encipherment
               X509v3 Subject Key Identifier:
                  74:17:9D:7D:87:C4:1B:C9:7D:04:DD:37:63:C8:22:69:CA:55:FF:46
               X509v3 Authority Key Identifier:
                  C2:A7:00:D8:F0:24:BF:E5:6F:57:CF:AB:4A:66:F8:61:78:FF:EF:28
               X509v3 Subject Alternative Name:
                  email:alice@acme.corp
               X509v3 Extended Key Usage:
                  E-mail Protection
   ...

Limitazioni

Si prega di notare che Zammad diffiderà dei mittenti per impostazione predefinita. Ciò significa che ti sarà sempre richiesto di fornire dati del certificato, indipendentemente dal fatto che sia per firmare o crittografare.

Questo è intenzionale e non può essere modificato.