[RESOLU]Certificat ssl webmail / Imap

par **unrealmouss** » 22 Fév 2006 11:13

Bonjour a tous,

j'ai un petit soucis avec les certificats. Je souhaiterais generer un certificat signé par une CA (cacert.org) et m'en servir autant pour les mails que pour la webmail.

J'ai donc :
- genéré mon server.csr (certificate request) manuellement avec openssl
- fait signé mon certificat par cacert.org qui m'a fourni mon server.pem
- Backup et remplacement de mes /home/e-smith/ssl.*/"server crt, pem, key"

Je relance les instances httpd, httpd-admin, imap, smtp, ..... et je teste tout dabord la webmail : pas de prob ca marche

Je teste ensuite l'imaps et le pops et la il m'affiche encore l'ancien certificat qui normalement n'existe plus....

Je ne vois donc que 2 solutions :
1) Il reste une trace de l'ancien certificat dans la DB, mais la .... enfin vous comprenez....
2) Le certificat utilisé pour les mails se trouve ailleurs mais je ne le trouve pas pour le remplacer

Je suis actuellement en SME 7pre3 (smeserver-release-7.0pre3-01)

par **Mael** » 22 Fév 2006 13:14

Salut,

* Tip

If like me you connect to your server using ssl to check your e-mails then you may need to do the following:

6.0.1-01
mv /var/service/imap/ssl/imapd.pem /var/service/imap/ssl/imapd.pem.old
mv /usr/share/ssl/certs/ipop3d.pem /usr/share/ssl/certs/ipop3d.pem.old
cat /home/e-smith/ssl.key/secure.v-cut.com.key > /var/service/imap/ssl/imapd.pem
cat /home/e-smith/ssl.crt/secure.v-cut.com.crt >> /var/service/imap/ssl/imapd.pem
cp /var/service/imap/ssl/imapd.pem /usr/share/ssl/certs/ipop3d.pem

en adaptant bien sur le nom de ton certificat

edit: par contre j'avais pas vu que tu étais en SME 7.0 mais y a des chances pour que la structure
soit la meme, à voir

source
http://contribs.org/modules/phpwiki/ind ... rtificates

Mael

par **unrealmouss** » 22 Fév 2006 15:13

Bonjour Mael et merci pour ta réponse.

En effet la structure différe un peu sauf pour l'imapd.pem. Par contre il semble que ce fichier soit templaté... Donc je vais pense que je vais tenter ca ce soir aprés avoir trouvé la trace du certificat ipop3d.pem.

En tout cas merci de ta réponse !

par **unrealmouss** » 25 Fév 2006 13:51

Bon alors retour d'expérience et pas des moindres....

A priori tout a encore été compliqué sur la sme7...

Donc en ce qui concerne les certificats, nous avons les certificats :
- web : Dans /home/e-smith/ssl.*, soit ssl.crt, ssl.pem et ssl.key
- imap : Dans /var/service/imap/ssl/imapd.pem qui contient la concaténation du key (en premier) et du crt (en 2)
- smtp : Dans /var/service/qpsmtpd/ssl/cert.pem qui a la même structure que le imapd.pem

Donc la manipulation est relativement simple, il faut :
- générer son certificate request et l'envoyer à la CA qui vous fournira le le pem.
- backup et remplacement des certificats dans /home/e-smith/ssl.*
- faire un backup des certificats imap et smtp (faire un mv)
- faire un cat "certificat key en premier" > imapd.pem
- puis un deuxième cat "certificat crt" >> imapd.pem
- même manipulation pour le smtp.

Par contre si je n'ai pas parlé du popS, c'est parce que je ne sais pas encore comment ca fonctionne et ou se trouvent les certificats.. (peut être utilise t'il le certificat de imap, ou autre). Je ne peux pas vous répondre car j'ai un petit problème de configuration, je reviens vers vous quand j'ai trouvé pourquoi :
- je n'arrive pas a recevoir des mails en pops
- mon compte configué en pops/smtps n'arrive pas à envoyer de mails mais mes comptes en imaps/smtps y arrivent eux....

Encore un truc bizarre

:twisted:

par **unrealmouss** » 25 Fév 2006 14:07

Ca marche et apparement pops utilise le même certificat que imaps...

Mon problème venit M$outlook qui semble ne pas apprécier les protocoles securisés.. (ca ne m'étonne pas). Donc j'ai refait le test avec thunderbird (en supprimant préalablement tous les certificats que j'avais accepté) et la il me fait bien apparaitre mon certificat signé par ROOT CA pour mon serveur mail...