我正在考虑部署内部 CA 来替换我们用于内部电子邮件加密的 GlobalSign 证书:
- 内部 CA 将使用 ADCS 在两层结构中设置,无需其他软件,例如 OpenSSL
- 将使用的客户端:Outlook 2013、Outlook for Mac 2011
- 我更喜欢 S/MIME 格式
我的问题是,Mac 客户端可以请求并使用来自 CA 的证书吗?
答案1
是的,Windows CA 与 OSX 兼容,但您需要确保 CA 使用 SHA2 和 RSA 1024 或更高版本。任何安全性较低的 CA 都可能在 OSX 的各个版本中出现错误。
关于注册,用户可以使用 OSX Keychain 创建要签名的证书文件。由于 CertEnroll ActiveX 控件在 OSX 上不起作用,因此您需要使用MSFT 网络注册或者将该文件上传/通过电子邮件发送给将使用、使用 CA 签名并将签名的证书返回给客户端的人员或 Windows 服务。
答案2
嗯,我没有经验Active Directory 证书服务,也许其他人可以提供第一手经验。微软有忽视标准的历史(例如 Active Directory 与 X500 LDAP 标准的区别),所以你的怀疑是正确的,事实上 ADCS 页面上没有“X509”的搜索结果。这些问题你应该直接问微软(或者你的中间软件供应商)。
一般来说:几乎所有 CA / 浏览器 / S/MIME 应用程序 / VPN 等都使用X509 证书格式。这是证书和公钥信息广泛接受的二进制格式,任何了解 SSL/TLS 或 S/MIME 的应用程序 / 操作系统都应该支持它。
我曾使用过现成的商用 CA 软件,该软件可托管在 Windows、Linux、HPUX、Solaris 等任何平台上,并能轻松处理上述任何平台 + Mac、Android、iOS 的证书请求。只要它们都使用相同的网络协议和证书格式,那就没问题。