Предуслови

  • Сертификат и тајни кључ ваше организације за потписивање одлазних порука и дешифровање долазних порука.

  • Сертификати који припадају вашим контактима, или њиховим органима за издавање сертификата (CA) за проверу потписа долазних порука и шифровање одлазних порука.

Белешка

Где могу набавити сертификат?

Најлакши начин да набавите сертификате је да купите годишњу претплату преко комерцијалног CA, као што су:

Такође можете да генеришете сопствене самопотписане сертификате, али процес је компликован и обично укључује додатни посао за ваше контакте.

Имајте на уму да S/MIME функционише само ако га користи и друга страна.

Провере сертификата и тајног кључа при отпремању

Провера сертификата и јавног кључа је заснована на X509v3 екстензијама.

Отпремате сертификат клијента?

Следећи атрибути су тада обавезни:

  • Subject Alternative Name (мора бити присутна најмање једна имејл адреса)

  • Key Usage (Digital Signature и/или Key Encipherment)

  • Public key algorithm (или RSA или EC)

Атрибут Extended Key Usage је опционалан. Ако сертификат садржи дотични атрибут, онда мора да садржи вредност E-mail Protection.

Имајте на уму да свака употребљива имејл адреса мора имати префикс email: или rfc822:.

Именовани алгоритми јавног кључа су обавезни и за тајне кључеве.

Отпремате CA сертификат?

У случају када отпремљени CA сертификат има вредност CA:TRUE за Basic Contstraints атрибут, претходно излистани атрибути неће бити проверени.

Уопштено говорећи, употреба сертификата који је истекао (Not After) или још увек није важећи (Not Before) биће онемогућена за одлазне имејл поруке.

Пример сертификата:
   ...
         Validity
               Not Before: Aug  1 14:20:28 2023 GMT
               Not After : Jul 31 14:20:28 2024 GMT
   ...
         X509v3 extensions:
               X509v3 Basic Constraints:
                  CA:FALSE
               X509v3 Key Usage:
                  Digital Signature, Non Repudiation, Key Encipherment
               X509v3 Subject Key Identifier:
                  74:17:9D:7D:87:C4:1B:C9:7D:04:DD:37:63:C8:22:69:CA:55:FF:46
               X509v3 Authority Key Identifier:
                  C2:A7:00:D8:F0:24:BF:E5:6F:57:CF:AB:4A:66:F8:61:78:FF:EF:28
               X509v3 Subject Alternative Name:
                  email:alice@acme.corp
               X509v3 Extended Key Usage:
                  E-mail Protection
   ...

Ограничења

Имајте на уму да Zammad подразумевано неће веровати пошиљаоцима. То значи да се од вас увек тражи да обезбедите податке сертификата, без обзира да ли за потписивање или шифровање.

Ово је по пројекту и не може се променити.