cerhu > comp.* > comp.mail

JKB (10/12/2018, 20h13)
Bonsoir à tous,

Depuis des années, j'ai un serveur debian qui sert à l'envoi et à la
réception de mails. La configuration est la suivante :
- sendmail
- courier-imap-ssl
- courier-pop3-ssl

Les certificats sont auto-signés.

Pour les serveurs imap et pop3, j'ai des fichiers pem sur le
serveur et toute la ribambelle pour sendmail/TLS.

Avec Thunderbird, je n'ai aucun problème. Il suffit d'accepter une
fois pour toute le certificat et tout fonctionne. Même chose avec
Seamonkey. Avec Outlook 2007, j'ai droit à chaque connexion sur le
serveur à une fenêtre "certificat invalide".

J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.

D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.

Bien cordialement,

JKB
dyrmak (13/12/2018, 16h07)
En 38 lignes JKB a écrit
dans news:slrnq0tb5f.db1.jkb
le lundi, 10 décembre 2018 à 19:13:02 :

> J'ai donc téléchargé les deux certificats et tenté de les installer
> dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
> "éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
> le fait que ces deux certificats servent au client mail. Rien n'y
> fait, cette fichu fenêtre apparaît à tout bout de champ.
> D'où ma question : comment faire manger à ce fichu logiciel des
> certificats auto-signés ? Avant de poser la question ici, j'ai
> naturellement regardé ce qui pouvait se dire sur internet sans
> succès.
> Bien cordialement,
>Bonjour,

C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....

Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?

dyrmak
JKB (13/12/2018, 16h31)
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
dyrmak <dyrmak> écrivait :
[..]
> privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
> même des droits spéciaux.
> Mais apparement vous n'avez que le dossier tls ?


Bonjour,

Je ne transfère rien à la main. J'utilise les outils microsoftiens
de IE et de Outlook. J'espère qu'ils ne récupèrent que la clef
publique. De toute façon, les clefs publiques ne sont pas
accessibles par les daemons côté serveur.

Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
certificat racine. Je viens de vérifier. Seul les certificats
clients sont exportés.

Cordialement,

JKB
Ascadix (13/12/2018, 22h08)
JKB a écrit dans <slrnq14r9d.d52.jkb>:
<news:slrnq14r9d.d52.jkb>
> Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
> dyrmak <dyrmak> écrivait :


C'est à dire dans la liste de certificats servant à valider les
signatures de fichiers/programems téléchargés, pas les connexions
SSL/TLS.

>>> J'ai bien rajouté dans les paramètres avancés
>>> le fait que ces deux certificats servent au client mail. Rien n'y
>>> fait, cette fichu fenêtre apparaît à tout bout de champ.


Ben c'est normal vu tes manip.

>>> D'où ma question : comment faire manger à ce fichu logiciel des
>>> certificats auto-signés ?


La manip habituelle quand tu utilise une PKI privée, c'est de fournir
le cartificat de la root CA ou de l'éventuelle racine secondaire qui à
servit lors de la création du certificat serveur SSL. Ensuite, met ce
certificat de CA dans le magasin des CA de confiance des softs clients.

>>> Avant de poser la question ici, j'ai
>>> naturellement regardé ce qui pouvait se dire sur internet sans
>>> succès.


Les PKI privées, c'est complexe, surtout quand les utilisateurs à
l'autre bout sont habituées à un tel bordel de "tier de confiance"
déclarés comme tel par les éditeurs (Microsoft bien sur, mais Google,
Mozilla et d'autres) sans le consentement éclairé des utilisateurs
finaux et sans comprendre le chainage à la mord-moi-le-.... de ce
joyeux bordel qu'est SSL.

C'est encore pire quand t'as divers softs clients, qui gérent chacun ça
à leur sauce, de façon +/- propre/cohérente/explicite.

> Bonjour,
> Je ne transfère rien à la main. J'utilise les outils microsoftiens
> de IE et de Outlook.


C'est kifkif, magasin Windows.

> J'espère qu'ils ne récupèrent que la clef
> publique.


Il récupére ce que le serveur fourni.

> De toute façon, les clefs publiques ne sont pas
> accessibles par les daemons côté serveur.


Faut espérer ...

> Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
> certificat racine. Je viens de vérifier. Seul les certificats
> clients sont exportés.


Certificats clients ?????

Tu veux dire certificats serveurs, ceux que tu install dans apache et
Cie, pour le HTTPS ou dans ton serveur IMAP pour le IMAPS et kikif ?

Parceque un 'certificat client', c'est pour authentifier le poste
client, voir l'utilisateur par abus de language.

Et TB tout comme FF c'un peu du n'importe quoi pour ce qui est de
respecter une chaine de certificats, Windows et par conséquence
IE/Outlook sont bien plus pro sur ce point.

Met ton certificat de root CA dans la magsain des root CA de confiance.

Au pire, mais c'est pas propre, met le certificat serveur dans le
magasin des intermédiaires de confiance.
Discussions similaires
Récupérer le certificat auto-signé d'un serveur apache pour le mettre sur le nouveau.

Exchange 2007 - Outlook 2007 - certificat

acceptation permanente d'un certificat https auto signé pour un compte utilisateur système

message signé avec un certificat


Fuseau horaire GMT +2. Il est actuellement 09h31. | Privacy Policy