certs / keys ที่เซ็นชื่อเองหยุดทำงานกับอัพเกรด Thunderbird

การเปิดตัวธันเดอร์เบิร์ดเมื่อเร็ว ๆ นี้ (ระหว่าง 27 และ 31) ทำให้ CA ที่ลงนามด้วยตัวเองของฉันพังซึ่งใช้ในการรับรองคีย์ที่ลงชื่อด้วยตนเองของฉัน

ฉันใช้ใบรับรองที่ลงนามเองเพื่อสื่อสารกับครอบครัว พวกเขาทำงานมาหลายปี

ตอนนี้ข้อความที่เซ็นชื่อจะมาพร้อมกับไอคอนซองจดหมายที่ปิดผนึกดังนี้:

tbird sealed envelope with red cross

คลิกที่มันทำให้:

message about cert not being trusted for this sort of thing

ถ้าฉันดูใบรับรองฉันเห็น:

certificate details showing it's OK

ดังนั้นจึงน่าเชื่อถือในฐานะ CA

อาการอื่น: เมื่อฉันไปส่งจดหมายถึงผู้ใช้ที่เป็นเจ้าของคีย์ส่วนตัวที่เซ็นชื่อด้วยตนเองซึ่งเชื่อมั่นใน CA ที่ลงนามด้วยตนเองนั้นฉันจะได้รับ "ไม่พบใบรับรองสำหรับผู้รับทั้งหมดปิดการใช้งานข้อความเข้ารหัสหรือไม่"

ทั้งหมดนี้ใช้ได้ดีก่อนการอัพเกรด

encryption

— Greg Bell
แหล่งที่มา

คุณกำลังดูข้อความที่ใช้ใบรับรองเก่าหรือไม่? (จากภาพหน้าจอดูเหมือนก่อนหน้า 2/14/14)

ฉันไม่ต้องการคอนเสิร์ตใหม่ฉันต้องการ Tbird ให้ใช้ได้กับเพลงเก่าของฉัน ... อย่างน้อยฉันก็ไม่คิดว่าฉันต้องการเพลงใหม่ ดูคำตอบด้านล่าง

— Greg Bell

ดีนะนั่นมันเจ็บปวดมาก ชั่วโมงผ่านไป!

ตามที่ธันเดอร์เบิร์ดบอกว่าเชื่อว่า CA จะรับรอง SSL SSL ... เฉพาะ SSL เท่านั้น!

มีตัวเลือกใน openssl.cnf สำหรับ "keyUsage" และ "extendedKeyUsage" แต่ฉันไม่สามารถรับสิ่งเหล่านี้ได้ใน /etc/ssl/openssl.cnf

การใช้ openssl x509 -in mykey.crt -text ฉันไม่สามารถตรวจสอบได้ว่าการตั้งค่านี้กำลังทำอะไรอยู่หรือไม่

เคล็ดลับคือการทำให้ ท้องถิ่นหนึ่ง เรียกว่า basic.cnf:

[ req ]
default_bits           = 2048
distinguished_name     = req_distinguished_name
prompt                 = no


[ req_distinguished_name ]
C                      = {Country}
ST                     = {Provice/State}
L                      = {City}
O                      = {Org}
OU                     = {Org Unit}
CN                     = user@domain.com
emailAddress           = user@domain.com

อาจจะถูกปล้นมากกว่านั้น เห็นได้ชัดว่าค่าเริ่มต้นที่มาพร้อมกับ Ubuntu 14.04 นั้น จำกัด การใช้งานของคีย์ เพราะด้วยสิ่งนี้ฉันสามารถใช้คาถาปกติของฉันในการสร้างคีย์และใบรับรอง แต่ด้วยตัวเลือก -config ใหม่เพื่อชี้ไปที่ไฟล์ปรับแต่งที่ถอดออก

KEYNAME=test_key
openssl genrsa -des3 -out ${KEYNAME}_private.pem 1024 -config basic.cnf
openssl req -new -key ${KEYNAME}_private.pem -out ${KEYNAME}.csr
openssl x509 -req -days 3650 -in ${KEYNAME}.csr -signkey ${KEYNAME}_private.pem -out ${KEYNAME}.crt
openssl pkcs12 -export -inkey ${KEYNAME}_private.pem -in ${KEYNAME}.crt -out ${KEYNAME}.p12

จากนั้นนำเข้า. crt ไปยัง Thunderbird ฉันเห็นสิ่งนี้แล้ว:

enter image description here

และทุกอย่างก็มีความสุขอีกครั้ง (หลังจากนำเข้ากุญแจใหม่ ฯลฯ )

— Greg Bell
แหล่งที่มา

ไม่ควรเป็นตัวอย่างพื้นฐาน. cnf ของคุณควรมี keyUsage ฟิลด์?

— Ángel

ไม่จำเป็นต้องใช้ - สามารถสันนิษฐานได้ว่าค่าเริ่มต้นคือ "มีประโยชน์อย่างเต็มที่" หรือไม่

— Greg Bell