[SSL]Ajoutter une autorite de certif dans OE [non resolu]

netman

Voili voilou j'avance encore dans mon periple linux et j'ai fini (enfin la parti de base) de configurer mon serveur postfix avec un acces pop et esmtp.

Donc je configure mon client Outlook express et tout marche tres bien sauf qu'evidemment il ne reconnait pas mon autorite de certification comme de confiance et me demande a chaque fois que je me connecte si j'approuve (puisque mes connexion sont faires en ssl).

Chose qui soit dit entre nous est plutot chiant

Donc j'ai essaye d'importer dans outlook le certificat que j'avais créé pour postfix mais toujours pareil . . .

Si qlq'un pouvais m'aider je connais pas grand chose a openssl donc voila

Aller merci d'vance et a +++

scout · Posted: Tue Jun 29, 2004 2:18 pm Post subject:

il est aussi important que le nom dns de ton serveur soit le nom du serveur qui a généré la clef (sinon ça te met une fenètre disant: ah pas bien c'est pas le même ordi qui a généré la clef et qui a le serveur de mail, et où tu as à cliquer sur ok). Mes 2 centimes
_________________
http://petition.eurolinux.org/ - Petition against ePatents
L'essence de la finesse

ttgeub · Guru Joined: 20 Jan 2003 Posts: 494 Location: Eindhoven

Ben en fait c'est pas si facile (à moins que je ne me gourre).

Normalement tu crees un certificat pour un nom de machine (www.toto.com), tu peux par un petit truc le faire pour toutes les machines d'un domaine en creant un certificat pour (*.toto.com). Comme le dit tres justement scout, il faut deja que le certificat soit pour la bonne machine !

Ensuite il faut que le certificat ne soit pas périmé, un certificat ca a une date de peremption ...

Le plus important c'est l'autorite de certification, globalement un certificat c est juste un enrobage autour d'une clef publique. (cf les problemes d'authentification clef public/clef prive). Mais il faut bien prouver que cette clef publique est la bonne (cad celle du site), il faut donc qu'elle soit signée par d'autre personne qui la certifie. Pour pouvoir signer, il faut etre une autorite de certification.

Possibilite 1: tu ne connais personne qui peux signer pour toi et tu crees une clef dite autosignée où tu dis toi meme que ta clef est bonne. C'est la solution dans 99% des cas.
Possibilite 2: tu fais appel à une autorité de certification externe pour signer ta clef. Mais à qui demander ???
Possibilite 2.1 : tu peux demander à un pote qui creera une autorite de certifications avec openssl et qui signera ta clef
Possibilite 2.2 : tu peux egalement faire appel à une boite privée (verisign est un des leaders en la matiere)

Mais il y a un probleme avec 1 et 2.1, en effet ton signataire doit etre connu (ca sert a rien de faire des signatures sur un document si personne ne les connait). Un prestataire externe qui lui est connu aura sa signature de reconnu à coup sur. (Pour connaitre les autorites reconnues par mozilla, faite : Edit - Preferences - Privacy & security - Certificates - Manage Certificate - Authorities).
Le probleme d'une autorite externe c'est que c'est payant (et cher en plus).

SOLUTION : il existe sans doute dans outlook comme dans tous les bons logiciels :-)

une gestion des autorites de certifications. Le plus simple est de t'ajouter comme autorite de certication connue ou encore plus simple de reconnaitre de fait ton certificat comme etant valide ....

PS : je relis pas c'est trop long

netman · Posted: Wed Jun 30, 2004 10:13 am Post subject:

Vi vi merci pour ton discours c justement la solution que je comptais retenir.

Rendre mon autorite de certification de confiance dans OE.

Bon je vais voir un peu comment signer mon certificat aller au boulot

+++

moon69 · Guru Joined: 30 Aug 2003 Posts: 444

j'ai eu le meme bleme la semaine derniere
la soluce, mettre en conf dans ton OE, bien mettre le nom FQDN dns que tu as utiliser pour creer ton AC, pour pop et smtp
et ca passe .... enfin chez moi