Подпись электронной почты с использованием коммерческого SSL-сертификата
Я подумываю о защите моей рабочей среды с помощью сертификатов, и поэтому у меня есть пара вопросов.
Мой домен Active Directory - domain.com. Если я куплю коммерческий SSL-сертификат с подстановочными знаками, например, в COMODO, можно ли создать сертификат пользователя S / MIME (после установки CA на контроллере домена: dc.domain.com)?
Путь сертификации будет: COMODO CA -> Промежуточный CA -> * .domain.com -> user@domain.com
Возможно ли это, или я должен покупать индивидуальный сертификат для каждого пользователя в COMODO? Если да, можно ли доверять этому сертификату за пределами моей организации?
Второй вопрос касается развертывания сертификатов S / MIME. Есть ли объект групповой политики для распространения пользовательских сертификатов, прикрепления его к учетной записи электронной почты и публикации глобального списка адресов?
Спасибо за любые предложения.
Нет, так не пойдет. Сертификаты, приобретенные в коммерческих центрах сертификации, не могут подписывать другие сертификаты. Для подписания других сертификатов ваш сертификат должен иметь расширение сертификата Basic Constraints с битом isCA , установленным в 1. Однако для всех сертификатов, приобретенных у коммерческих поставщиков, этот бит установлен в 0. Хотя , технически такую конфигурацию создать можно, она не будет работать из-за сбоя проверки сертификата.
Вы должны приобрести отдельный сертификат для каждого почтового адреса.
после установки CA на контроллере домена: dc.domain .com
Обратите внимание: НИКОГДА не устанавливайте CA на контроллеры домена. Если он установлен, он должен быть установлен на выделенном сервере.