Certificat securite

De SME Server Wiki
Révision de 10 février 2009 à 03:11 par WikiSysop (discussion | contributions) (problemes avec sme 7.1 à 7.1.3)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)

Voici comment faire accepter vos certificats de sécurité générés par SME pour que les clients courrier ou explorateur de courrier cessent de se plaindre que le certificat est signé par une autorité non reconnue.... sans que vous ayez à payer pour celà.


Avant tout

Pensez à mettre à ours vos données LDAP par le serveur manager: ce sont ces données qui sont utilisées pour remplir le certificat auto généré par SME.

Par défaut votre SME génère un certificat pour NomDHote.NomDeDomaine.tld. Pour que vos client ne se plaignent pas en se connectant au serveur, il faut leur donner exactement cette adresse pour se connecter, sinon une alerte disant que l'adresse ne correspond pas au certificat présenté apparaitra systématiquement.

Par exemple: nom de domaine principal du SME: pialasse.com

nom de serveur: www

=> certificat généré pour www.pialasse.com (c'est cette adresse qui doit être utilisé dans votre client mail, pour recuperer ou envoyer les mails)


nom de domaine principal du SME: www.pialasse.com

nom de serveur: www

=> certificat généré pour www.www.pialasse.com


SME ne peut gerer qu'un seul certificat. Il faudra faire avec que ce soit pour le courrier (imaps pops smtps) ou pour le web (https).


Firefox (FF)

1.tapez l'adresse du site web du serveur SME avec https devant (https://NomDHote.NomDeDomaine.tld) . Une alerte apparait.

Alerte FF.JPG

2.cochez accepter definitivement le certificat 3.Firefox ne vous inquiètera plus tant que le certificat ne sera pas régénéré sur le serveur,ET si vous utilisez la bonne adresse ( https://NomDHote.NomDeDomaine.tld)

Thunderbird

  1. configurez votre compte mail avec pour serveur smtps et pops ou imaps https://NomDHote.NomDeDomaine.tld
  2. lancez une mise a jour des messages, tapez votre mot de passe pour ce compte s'il n'est pas mémorisé
  3. une alerte apparait, acceptez définitivement le certificat
  4. Thunderbird ne vous inquiètera plus tant que le certificat ne sera pas régénéré sur le serveur


Microsoft Internet Explorer 6 (MS IE6)

Coté Serveur par l'Administrateur

recuperez une copie du certificat .crt généré sur le SME dans /home/e-smith/ssl.crt/

cp /home/e-smith/ssl.crt/NomDHote.NomDeDomaine.tld home/e-smith/files/ibays/Primary/html


Pour l'utilisateur

1.récupérez sur le poste ce certificat à l'adresse suivante http://NomDHote.NomDeDomaine.tld/NomDHote.NomDeDomaine.tld.crt, (ou enregistrez le fichier recu par email, ou recuperez par le reseau ou tout autre support et passez au point 4 après avoir double cliqué sur le fichier)

2.enregistrez sur le bureau (ou la ou vous voulez)

Alerte ie6 11.JPG

3.choisissez ouvrir sur la boite suivante ou double cliquez sur l'icone du certificat fichier NomDHote.NomDeDomaine.tld.cer

Alerte ie6 12.JPG

4.erreur non systématique choisissez ouvrir, si vous avez cliquer sur l'icone

Alerte ie6 13.jpg

5.choisissez "installer le certificat"

Alerte ie6 14.JPG

6.cliquez sur suivant plusieurs fois

Alerte ie6 15.JPG Alerte ie6 16.JPG

7.cliquez sur terminer

Alerte ie6 17.JPG

8.cliquez sur 'oui' puis 'OK' aux messages de confirmation

Alerte ie6 18.JPG Alerte ie6 19.JPG

9.cliquez sur 'OK' pour fermer le certificat

Alerte ie6 14.JPG


NB: vous aurez noté que windows transforme via MS IE lors du telechargement l'extension .crt en .cer, ceci n'a aucune importance...

Microsoft Internet Explorer 7 (MS IE7)

Methode 1 => voir MS IE 6

Méthode 2 :

Microsoft Outlook Express

même méthode que MS IE6

Microsoft Outlook

même méthode que MS IE6 Fichier:Exemple.jpg


problèmes avec sme 7.1 à 7.1.3

Il existe un bug lors du renouvellement automatique du certificat serveur au bout d'un an. Les services httpd et qmail plantent lamentablement au demarage a cause d'un renouvellement incomplet. Pour reparer cela UPDATEZ vers la derniere version SME. Si par malheur vous ne voulez pas updater ou ne pouvez pas pour des raisons personnelles voici comment vous en sortir:

remplacez par le "HOST.DOMAIN" de votre "domaine principal" ou votre "nom d'hote"."domaine" suivant votre config


mkdir /root/sauvessl  /root/sauvessl
# sauvegarde des vieux certif httpd
mv /home/e-smith/ssl.key/*  /root/sauvessl
mv /home/e-smith/ssl.crt /*  /root/sauvessl
mv /home/e-smith/ssl.pem/* /root/sauvessl
#generation nouveau certif domaine
signal-event domain-modify
# on relance httpd
service httpd-e-smith restart
# sauvegarde des vieux certif imaps pops et smtps
cp  --parents -r /var/service/imap/ssl /root/sauvessl
cp  --parents -r /var/service/qpsmtpd/ssl /root/sauvessl
# on refait les certif mails
cat /home/e-smith/ssl.key/HOST.DOMAIN.key > /var/service/imap/ssl/imapd.pem
cat /home/e-smith/ssl.crt /HOST.DOMAINr.crt >>/var/service/imap/ssl/imapd.pem
cat /home/e-smith/ssl.key/HOST.DOMAIN.key >/var/service/qpsmtpd/ssl/cert.pem
cat /home/e-smith/ssl.crt /HOST.DOMAIN.crt >>/var/service/qpsmtpd/ssl/cert.pem
# on redemarre qmail
service qmail restart


vous pouvez ensuite mettre a jour vos certifs chez les clients mail et courriel

problème renouvellement certificat 7.2 et ulterieur

un bug reste au renouvellement du certificat a partir de la 7.2. Les sevrices mail et httpd ne sont pas redémarré après la génération du certificat, résolution :

signal-event email-update
service httpd-e-smith restart

génération d'un certificat personnalisé à partir de SME 7.1.3 et suivants

vous avez seulement à faire ceci:

config setprop modSSL CommonName www.domain.com
expand-template /home/e-smith/ssl.crt/crt
expand-template /home/e-smith/ssl.key/key
signal-event domain-modify
signal-event email-update


vérifiez que les certificats sont identiques :

diff /var/service/imap/ssl/imapd.pem  /var/service/qpsmtpd/ssl/cert.pem
diff /var/service/qpsmtpd/ssl/cert.pem /home/e-smith/ssl.pem/$HOSTNAME.`config gettype DomainName`.pem


les deux commandes ne doivent rien retourner