Моя настройка:
- Поставщик электронной почты:
- Microsoft Exchange Online (Office 365)
- X509 PKI
- Самоподписанный внутренний CA
- sst установлен на сервере Exchange
- crt установлен в качестве доверенного корневого центра сертификации на всех соответствующих устройствах (Windows, Mac, Linux, IOS, Android)
- Внутренние сертификаты пользователя, подписанные CA (со всеми необходимыми расширениями)
- Применимый пользователь PKCS12, установленный на пользовательских устройствах
- Публикуется в глобальном списке адресов Exchange через Outlook каждого пользователя
- Проверено с помощью
Get-Mailbox <redacted username> | fl *user*
Что работает:
╔═════════════════════════╦═════════════╦═════════════╦════════════╗
║ ║ Encryption ║ Decryption ║ Signature ║
╠═════════════════════════╬═════════════╬═════════════╬════════════╣
║ Windows 10 (Outlook) ║ Working ║ Working ║ Working ║
║ Mac (Mail) ║ Working ║ Working ║ Working ║
║ Linux (Evolution) ║ Working ║ Working ║ Working ║
║ iOS (Mail) ║ Working ║ Working ║ Working ║
║ Samsung Android (EMail) ║ FAIL* ║ Working ║ Working ║
╚═════════════════════════╩═════════════╩═════════════╩════════════╝
Все работает на всех устройствах, кроме шифрования с помощью стандартного Android-приложения Samsung.
В отношениина стандартную электронную почту Samsung:
Когда я получил подписанное и / или зашифрованное электронное письмоэлектронной почты, электронная почта успешно расшифрована, за которой следует тост, в котором указано «Цифровая подпись на этом сообщении действительна и надежна»
Когда я создаю подписанную электронную почту в стандартном приложении, она отправляет правильно подписанную электронную почту, нетпроблема.
Однако, когда я пытаюсь отправить зашифрованное электронное письмо, происходят следующие события:
Getting recipient certificates...Validating certificates...<redacted username>@<redacted domain> - Invalid certificate. (для каждого получателя и отправителя)
Я знаю, что приложение успешно извлекает сертификаты из GAL сервера Exchange.Я знаю это, потому что если я пытаюсь отправить зашифрованное электронное письмо любому, кто не опубликовал свои сертификаты в GAL через Outlook, вместо этого появляется сообщение об ошибке:
<redacted username>@<redacted domain> - Unable to fetch the certificate from the server.
Мой вопрос (ы):
Почему я получаю эту ошибку:
<redacted username>@<redacted domain> - Invalid certificate.
, если сертификат CA был установлен как на сервере Exchange, так и на устройстве Android?(Полученное письмо может похвастаться надежными и действительными подписями)
Это потому, что мой ЦС самоподписан, и нет никакого способа заставить приложения Samsung со вкусом knox играть в мяч, не тратя десятки тысяч долларов на сертификаты с внешней подписьюдля внутренней связи?
Можно ли как-то обойти эту ошибку, не прибегая к сторонним приложениям?
* (я могу успешно отправлять зашифрованную почту, используя ciphermail, но не хочучтобы загнать всех в моей компании в дополнительную услугу сторонним приложением, если есть какой-либо возможный способ избежать этого. Также я предполагаю, что android хранит сертификаты в безопасном поместье, я не знаю, можно ли сделать такое же предположение для сторонних приложенийкоторые не используют встроенное управление сертификатами Android)
(Также я не ищу критику S / MIME, я уже сделал свое исследование)