问题[digital-signatures](server)

我在 Ubuntu 20.04 上使用最新版本的 DKIM + Postfix 我得到了 DKIM 来签署电子邮件 [email protected]。然而，它拒绝签署来自@mydomain.com 的电子邮件。是否可以为两个电子邮件地址签名，如果可以，我该怎么做？

下面是我的 opendkim.conf

# This is a basic configuration that can easily be adapted to suit a standard
# installation. For more advanced options, see opendkim.conf(5) and/or
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.

# Log to syslog
Syslog          yes
# Added later
SyslogSuccess           Yes
LogWhy                  Yes

# Required to use local socket with MTAs that access the socket as a non-
# privileged user (e.g. Postfix)
UMask           007

# Sign for example.com with key in /etc/dkimkeys/dkim.key using
# selector '2007' (e.g. 2007._domainkey.example.com)
Domain          smtpmail.rapidseohost.com
KeyFile         /etc/dkimkeys/smtpmail.private
Selector        smtpmail

# Commonly-used options; the commented-out versions show the defaults.
Canonicalization    relaxed/simple
#Mode           sv
SubDomains      yes

# Socket smtp://localhost
#
# ##  Socket socketspec
# ##
# ##  Names the socket where this filter should listen for milter connections
# ##  from the MTA.  Required.  Should be in one of these forms:
# ##
# ##  inet:port@address           to listen on a specific interface
# ##  inet:port                   to listen on all interfaces
# ##  local:/path/to/socket       to listen on a UNIX domain socket
#
Socket                  inet:8891@localhost
#Socket         local:/run/opendkim/opendkim.sock

##  PidFile filename
###      default (none)
###
###  Name of the file where the filter should write its pid before beginning
###  normal operations.
#
PidFile               /run/opendkim/opendkim.pid


# Always oversign From (sign using actual From and a null From to prevent
# malicious signatures header fields (From and/or others) between the signer
# and the verifier.  From is oversigned by default in the Debian pacakge
# because it is often the identity key used by reputation systems and thus
# somewhat security sensitive.
OversignHeaders     From

##  ResolverConfiguration filename
##      default (none)
##
##  Specifies a configuration file to be passed to the Unbound library that
##  performs DNS queries applying the DNSSEC protocol.  See the Unbound
##  documentation at http://unbound.net for the expected content of this file.
##  The results of using this and the TrustAnchorFile setting at the same
##  time are undefined.
##  In Debian, /etc/unbound/unbound.conf is shipped as part of the Suggested
##  unbound package

# ResolverConfiguration     /etc/unbound/unbound.conf

##  TrustAnchorFile filename
##      default (none)
##
## Specifies a file from which trust anchor data should be read when doing
## DNS queries and applying the DNSSEC protocol.  See the Unbound documentation
## at http://unbound.net for the expected format of this file.

TrustAnchorFile       /usr/share/dns/root.key

##  Userid userid
###      default (none)
###
###  Change to user "userid" before starting normal operation?  May include
###  a group ID as well, separated from the userid by a colon.
#
UserID                opendkim

我正在寻找如何从 p7s 文件中提取时间戳信息（文件签名时）。

我目前正在通过 asn1parse 提取时间戳并使用字符串 (id-smime-aa-timeStampToken)

我解析的文件中的内容如下所示。

19120:d=7  hl=2 l=  11 prim: OBJECT            :id-smime-aa-timeStampToken
19133:d=7  hl=4 l=2165 cons: SET               
19137:d=8  hl=4 l=2161 cons: SEQUENCE          

我正在从偏移量 19137 中提取长度为 2165 的数据（我假设它与偏移量 hl=4 l=2161 存在于同一行），不确定这是正确的，但我得到了正确的时间细节。

但是有没有办法直接从p7s中提取时间戳呢？

问：我们如何找出可以从 P7S 文件生成的 CRL 文件的数量或 PEM 文件的数量？

我（从这里）了解到，P7S 文件中包含的数据只不过是 PEM 文件的编码（ASN1，DER 格式）数据。

因此，如果有一个以（ASN1、DER 格式）编码的 P7S 文件，我使用一些 OpenSSL 命令来获取 ASN1PARSE 数据，并从中获取 CRL，最后得到 PEM。

我知道 ASN1PARSE 与 OpenSSL 一起使用时会给出一些文本文件，其中包含一些偏移量、标题长度和长度，通过使用我们提取上述 CRL(S) 和 PEM(S)。

现在我的问题是，如帖子第一行所述，我怎么知道我正在从 P7S 文件生成正确数量的文件（crls、pems）？

有一种方法可以根据原始 RPM 内容验证与特定包相关的文件：

# Verify `vsftpd` package.
rpm -V vsftpd

如何完成链并验证rpm命令本身没有更改？

如果我用rpm一个总是成功的脚本替换，这种类型的验证将永远不会失败。

我正在尝试为内部域设置远程应用程序。我有一个根 CA，它信任我所有的终端计算机，该证书已经签署了我正在尝试用于服务器的通配符证书。

我将通配符证书的 pfx 添加到本地机器个人商店。从那里我可以很好地使用它来签署 RD 会话主机会话。

但是，当我尝试为 Remote App 设置签名时，证书没有显示。

我需要做什么才能使我的证书可供使用？

更新：

证书是通过以下命令生成的：

makecert -pe -n "CN=*.vw.local" -a sha1 -sky signature -ic VetWebCA.cer -iv VetWebCA.pvk -sv VetWebComputerWildcard.pvk VetWebComputerWildcard.cer

pvk2pfx -pvk VetWebComputerWildcard.pvk -spc VetWebComputerWildcard.cer -pfx VetWebComputerWildcard.pfx

生成的 pfx 通过 mmc 添加到机器本地存储。

奇怪的是，如果我添加-CodeSigningCert标志以查找通配符证书，则进入 Powershell 它会被排除Get-Childitem在我Cert:\Local Machine\My路径的搜索结果之外，但如果我不包含它，它就会存在。

我只是想知道是否有办法使用 SSL 证书或 PGP 密钥来签署我的电子邮件。

目前我必须在 Outlook（或其他胖客户端）中设置 S/MIME 以通过 SMTP 发送签名邮件。它对我有用，但我正在寻找一种方法来使用 GMail 的网络界面来做同样的事情。

环境是 Windows 域。Windows Server 2003 是控制器，所有客户端都运行 WinXP 或更高版本。Office 2003（2007 即将推出）用于创建大多数文档。

我正在寻找一种以电子方式签署文件的方法。我相信自我证明会很好。

我想我真的对此一无所知，并且很难找到起点。在我的完美场景中，当我在系统中创建一个用户时，也会创建一个数字签名（证书或其他），然后新用户可以使用它以尽可能少的麻烦签署文档。

有人可以在这里教育我吗？我需要学习什么，在哪里可以学习？