[mew-dist 21562] Re: openssl smime

[Atsushi Onoe]

> (Q1) どういう方法で証明書を作成したら、証明書ファイルに証明書と秘密鍵
>      が入るのでしょうか？ (何も調べずに聞いています。すみません。)

私は cat してますが:-)

PEM を使うのは openssl ユーザだけで、証明書と秘密鍵のコンテナとしては、
一般的には pkcs#12 を使います。Netscape, Mozilla, IE などみんな対応して
ます。pkcs#12 は、それ全体にパスワードをかけて保護しますので、当然他人
にあげたりするものじゃありません。

最近の(そうでもないか) openssl には pkcs12 サブコマンドがあるので、例えば
Mozilla で発行した鍵を pkcs12 で export して
	openssl pkcs12 -in xxx.p12 -out xxx.pem
とかやると、pkcs#12 から証明書と秘密鍵が分離されて、どちらも xxx.pem に
格納されます。

>      また、証明書ファイルに秘密鍵を収める理由はなんでしょうか？

別にそうする必然性はないので、趣味でしかないのですが、私に関して言えば、
違う CA とか、更新して新しくなったりとかで、複数の証明書を持ってる時に、
どれとどれが pair だったかわからなくならないようにするためです。

> (Q2) もし、通信相手から「証明書を送ってくれ」と言われたら、秘密鍵が入っ
>      ている証明書ファイルを間違って送ってしうことはないんですか？
> 
>      S/MIME は、メールに対する署名に証明書が含まれている(要確認)ので、
>      「証明書を送ってくれ」と言われることはないのでしょうか？

仕様はもう覚えてませんが、、、自分のコードを見ると証明書を chain ごと
突っ込んでますね。人からもらったメールにも証明書ははいってるので、
証明書を単体で送ってくれと言われることは無いです。

尾上