在查看LetsEncrypt FAQ page时,他们已经明确指出电子邮件加密和代码签名要求使用不同类型的证书,因此LetsEncrypt不支持它们。
我的理解是https和S / MIME都需要X.509证书。这两种技术要求的证书之间有什么区别?
答案 0 :(得分:1)
除其他事项(如加密密钥)外,X.509证书还指定了其用途。用于HTTPS和S / MIME的X.509证书基本上具有不同的用法。
X.509证书的结构非常复杂。其可能的用法取决于证书中的属性和扩展名,并要求必须存在它们与特定值的特定组合。
例如,一个S / MIME证书需要一个 Key Usage属性,其属性类似Encrypt, Verify, Wrap, Derive,一个 Key Usage扩展必须具有关键属性设置为Yes,并在扩展密钥用法扩展名中添加使用属性和Key Encipherment和Data Encipherment, / em>(非常好!),它应该列出 Purpose属性值Email Protection。
证书要求甚至延伸到证书链中,这意味着该证书必须由已签发用于签署该用途的证书的另一个证书进行签名。
请注意,上面的示例可能并非100%正确,因为主题是如此复杂,而且我本人并不完全了解它的各个方面。我发现这句话很能说明情况:
我认为许多纯粹主义者宁愿PKI对 除了使它足够简单易用之外,没有任何实际的术语,但是 可能“有缺陷”。 -克里斯·齐曼(Chris Zimman)
对我有帮助的资源