EPKI S/MIME Продукты BR изменения и последствия
21 апр. 2025 г.
EPKI S/MIME Продукты BR изменения и последствия
В статье рассматриваются изменения в S/MIME BRs, их влияние и решения/альтернативы для запросов, связанных с типами S/MIME-сертификатов EPKI:
Для выпуска сертификатов пользователи EPKI должны иметь соответствующий профиль. Для этого в профиле EPKI должен быть указан идентификатор организации, а также подтвержден контроль над почтовым доменом. Таким образом, мы настоятельно рекомендуем вам создать новый профиль. Пожалуйста, ознакомьтесь с этой статьей поддержки: Как создать новый профиль в EPKI и выпустить любые сертификаты из этого нового профиля. Аутентификация клиента и AATL - это единственные случаи использования, для которых вам не нужен новый профиль, и вы можете продолжать использовать существующий профиль EPKI.
Новые профили для SMIME не должны содержать никаких OU и должны иметь контроль домена. Пожалуйста, ознакомьтесь со второй частью этой статьи: Как создать новый профиль в EPKI. После добавления почтового домена наша команда по проверке свяжется с вами для его подтверждения. Все профили без идентификатора организации не будут соответствовать требованиям после 1 сентября 2023 года.
Обратите внимание еще раз: Это касается только пользователей S/MIME; если ваш сертификат используется только для аутентификации клиента или для подписания документов (AATL), вам не нужен новый профиль и вы не затронуты.
Пожалуйста, ознакомьтесь с приведенной ниже таблицей, чтобы получить подробную информацию об изменениях в EPKI S/MIME BR для вашего продукта EPKI:
| Description | Enterprise Lite Personal Digital ID | Enterprise Lite Department Digital ID | Enterprise Lite S/MIME |
|---|---|---|---|
|
Доступность продукта после изменения БЗ |
Да |
Да |
Да |
|
Перевыпуск сертификатов после 28 августа 2023 года из профилей, созданных до 28 августа |
Нет |
Нет |
Нет |
|
Продление сертификатов после 28 августа 2023 года от Profles, созданных до 28 августа. |
Да (только для аутентификации клиента, но не для S/MIME |
Да (только для аутентификации клиента, но не для S/MIME |
Нет |
|
Организационное подразделение Поле для новых заказов |
Не поддерживается |
Не поддерживается |
Не поддерживается |
|
Идентификатор организации требуется для новых сертификатов профиля |
Да [Как и сведения об организации, идентификатор организации будет получен из профилей]. |
Да [Как и сведения об организации, идентификатор организации будет получен из профилей]. |
Да [Как и сведения об организации, идентификатор организации будет получен из профилей]. |
|
Поле Common Name(CN) в новых сертификатах профиля |
Да [CN должно быть личное имя, или адрес электронной почты] |
Да [CN должен быть только email или имя организации - система не допускает других значений] |
Да [Sponsor Validated Object Identifier] |
|
Идентификатор объекта политики SMIME BRs в сертификатах конечных субъектов |
Да [Спонсор подтвердил идентификатор объекта |
Да [Удостоверенный идентификатор объекта организации] |
Да [Sponsor Validated Object Identifier] |
|
Новый S/MIME ICA, R6 с новыми сертификатами профиля (кроме клиентов пользовательских CA) |
Да |
Да |
Да |
|
Добавление идентификатора организации в запрос API |
Да |
Да |
Да |
|
Удаление поддержки подразделения организации в запросе API в новых сертификатах профиля |
Да |
Да [если указано, значение будет проигнорировано] |
Да |
|
Добавление SANRFC822, адреса электронной почты и поля электронной почты в запрос API в новых сертификатах профиля |
Да |
Да |
Да |
|
Увеличение длины пароля PKCS12 до 17 цифр и его автоматическая генерация через API и пользовательский интерфейс в новых сертификатах профиля |
Да |
Да |
Да |
|
Проверка контроля почтовых ящиков по электронной почте с помощью случайного значения должна быть получена в течение 24 часов в новых сертификатах профиля. |
Н/Д |
Н/Д |
Н/Д |
|
Функциональность, позволяющая существующим утвержденным почтовым доменам подпадать под правила SMIME BR, если в новом профиле нет OU и идентификатора организации. |
Да |
Да |
Да |
Мы приносим извинения за неудобства, причиненные нашим клиентам, и благодарим вас за сотрудничество и понимание.
Более подробную информацию об изменениях в профиле EPKI см:
По всем дополнительным вопросам обращайтесь в службу поддержки GlobalSign.
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.