On Thu, 27 Apr 2006 16:52:34 +0400
"Dmitry Akindinov" <CGatePro@mx.ru> wrote:
> Здравствуйте, > > Alexander Serkin wrote:
>>> Здравствуйте, >>> >>> Alexander Serkin wrote: >>>> А не пробовали этот сертификат после разборки/сборки/импорта >>>> собственно использовать? >>>> У меня тындерберд отказывается им подписывать письмо и предлагает >>>> проверить его честность :-( >>> >>> Для этого надо скачать с сервера его сертификат, который он использует >>> для подписывания S/MIME сертификатов (S/MIME Authority Certificate) и >>> установить его в Thunderbird в Authorities.
> > Там разница во флажках. И в Т-Бёрд вводить надо оюа сертификата: один >будет использоваться для ssl/tls, другой - для S/MIME.
клиент должен со всей душой относиться только к тем сертификатам, в родителей которых он свято верит. А родителей ищут по ДНК. А ДНК в данном случае - это ASN имя плюс *серийный номер*. То есть имя должно быть не просто "похожим", и даже не просто "таким же", но оно должно быть байт-бай-байт таким же в ASN.1 кодировке, ПЛЮС серийный номер в поле ISSUER у проверяемого сертификата должен совпадать с номером у того, кому мы так верим. Так что если мы делаем новый сертификат, в который верим - с сохранением его ASN имени, но с новым серийным номером - то кранты, все сертификаты, подписанные старым (со старым серийным) - лишаются нашего доверия.
Так что проверьте, не перегенеряли ли Вы S/MIME сертификат после того, как нагенерили узерские сертификаты.
Sincerely,
Vladimir
Получено Thu Apr 27 20:01:58 2006
Этот архив был сгенерирован hypermail 2.1.8 : Fri 28 Apr 2006 - 00:12:39 MSD