PINE en S/MIME: Certification chain ook meesturen?

Ik heb PINE 4.53 gemaakt met de bijgeleverde S/MIME-patch (in contrib/smime) en hij doet het (na enig zoekwerk) uiteindelijk goed. Dat wil zeggen, de mailtjes komen goed aan, ze zijn geldig ondertekend en 'de berichttekst is na het ondertekenen niet gewijzigd'.

Mijn probleem: hij voegt de certificaten van de certification authority die mijn key heeft ondertekend (Thawte) niet toe. Thawte is wel bekend bij de meeste e-mail-programma's, maar mijn key (zo'n freemail dinges) is niet rechtstreeks door Thawte ondertekend maar door een door Thawtes root CA ondertekende CA (hetgeen gebruikelijk is, ik geloof dat Verisign dit ook zo doet), en die moet de ontvanger dus ook hebben voor hij kan zien dat ik ik ben. PINE stuurt de certificaten van degenen die mijn key hebben ondertekend niet mee.

Als ik een bericht stuur naar iemand met Outlook Express dan wordt het bericht om die reden als onveilig bestempeld. En dat is natuurlijk jammer.

Met openssl smime kan je een bericht behalve een ondertekening voorzien van additionele certificates. Dan kan je dus de certificaten van de ondertekenaar van jouw sleutel (in mijn geval Thawte Freemail CA) invoegen, waardoor het wel goed werkt. Ook Outlook en Outlook Express hebben deze mogelijkheid. Weet iemand hoe ik ditzelfde in PINE kan bewerkstelligen?

Goed, ik heb het inmiddels zelf opgelost. De README.smime-file is een beetje tegenstrijdig en onduidelijk en de rest van het web is niet zo scheutig met info.

Doe het zo:

• Haal bij Thawte een certificaat zodat hij in je browser zit.
• Exporteer het certificaat inclusief private key en inclusief de certificate authorities die jouw key hebben getekend (PKCS #12) - dit levert een .p12 (Netscape / Mozilla) of een .pfx-file op.
• mkdir ~/.pine-smime{,/ca,/private,/public}
• openssl pkcs12 -in sleutel.p12 -out temp.certs
• De eerste (BEGIN RSA KEY of woorden van die strekking) key in die (text) file knip je langs de streepjes uit (inclusief streepjes) en zet je in ~/.pine-smime/private/jouw@email.adres.nl.key
• Alle andere blokken, dus niet alleen die van jouw e-mail-adres, zet je in ~/.pine-smime/public/jouw@email.adres.nl.crt

Dan werkt het.

Oh ja, maak de .key file (en voor de zekerheid de private-directory) even onleesbaar voor iedereen behalve jezelf, en verwijder na gebruik de geexporteerde en geconverteerde versies van je key.

[ Voor 12% gewijzigd door rollebol op 03-02-2003 19:17 . Reden: Nog wat nuanceringen ]

Hmm, een beetje suf van me misschien, maar nader uitzoeken heeft uitgewezen dat het nog steeds niet werkt. De certs worden niet meegestuurd dus mijn vraag blijft staan.