在我的公司,我们使用较短的邮箱地址以方便使用,但现在公司规模越来越大,邮箱地址之间就会发生冲突。对于新员工,我们只会使用较长的邮箱地址来避免这种情况。
但是,为了将旧的短证书迁移到新的长证书,我想同时为两个邮件地址生成证书,这样老员工就可以同时使用他们的两个邮件地址。使用一个证书可以实现这一点吗?还是我需要生成两个?两个邮件地址都属于同一个人,并转发到同一个邮箱。
由于我在 Google 上没有找到任何内容,我想知道这是否是正确的方法。类似这样的事情通常由邮件服务器以某种方式处理吗?(我们使用 Office365。)
答案1
S/MIME 证书验证电子邮件发送的地址从,因此,如果员工会从其他地址发送电子邮件,则您只需要关注这些地址。例如,如果“Bob Anderson”在和接收邮件,[email protected]但[email protected]只有发送邮件来自[email protected],那么他只需要[email protected]其 S/MIME 证书中的地址。
但是,如果你的用户将从多个地址发送电子邮件,那么还有一个解决方案:subjectAlternativeName(SAN)扩展。SAN 扩展通常用于保护 SSL/TLS Web 服务器证书中的多个主机名(例如www.example.com和example.com),但也可以用于电子邮件地址。
话虽如此,我还是建议您检查客户端兼容性,因为并非所有支持 S/MIME 的电子邮件客户端都支持 SAN 扩展。如果您确保不将扩展标记为关键,则不支持 SAN 扩展的电子邮件客户端应该会忽略它(x.509 标准要求拒绝任何不理解的关键扩展)。在快速搜索中,我无法确定 Office365 是否支持 S/MIME 证书的 SAN 扩展(尽管它支持服务器我非常高兴能够看到它的存在(例如,证书),但如果没有的话,我会感到惊讶。
答案2
把这个放入你的 smime.cfg 中
subjectAltName=@alt_names
[alt_names]
email.1 = [email protected]
email.2 = [email protected]