Certificat SSL gratuit

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Certificat SSL gratuit

Messagepar laurent63 » 14 Jan 2007 12:58

Bonjour à tous,

J'ai un serveur SME 7.0. A chaque fois que je lance https://nomduserveur/webmail ou server-manager, IE7 me dit que "Le certificat de sécurité de ce site Web présente un problème". Je peux bien sûr continuer, mais je souhaiterais éviter ce type de message. Je suppose qu'il faut créer un certificat propre au serveur et au client, mais comment faire, sans acheter un certificat.

Merci d'avance

L63
laurent63
laurent63
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 03 Juil 2005 22:26

Messagepar HaM » 14 Jan 2007 13:28

Tu peux regarder du coté de CAcert. http://www.cacert.org/
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar adili » 14 Jan 2007 17:06

Bonjour,


Par défaut sme génère un certificat avec pour nom : nom_serveur.nom_domaine donc quand on se connecte l'on utilise l'un ou l'autre mais jamais les deux d'ou le message a la connexion.

Pour générer un certificat avec le nom que l'on désire, voir ce lien :
http://distro.ibiblio.org/pub/linux/dis ... s/ssl7.htm

AD
adili
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 11 Juil 2006 13:06

Messagepar jaysee » 17 Jan 2007 15:05

HaM a écrit:Tu peux regarder du coté de CAcert. http://www.cacert.org/


Salut,

quand tu te connecte sur :
https://www.cacert.org/index.php?id=1

on a un message d'erreur de certificat.. c'est balo justement on en veut plus!

Sinon j'ai trouvé ca:
https://cert.startcom.org/?lang=fr
mais je peut pas tester pour le moment car il verifient les mail via un check SMTP, et mon serveur de mail fait du greylisting...
"Une fois, en auto, j'ai eu un accent grave" - Johnny Halliday
Avatar de l’utilisateur
jaysee
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 07 Nov 2003 01:00

Concrètement

Messagepar eric_car » 30 Jan 2007 00:05

Bonjour,

A la recherche d'une solution pour éviter le message : 'Le certificat de sécurité de ce site Web présente un problème Le certificat de sécurité présenté par ce site Web n’a pas été émis par une autorité de certification approuvée'

J'ai parcouru avec intérêt, les différents lien ci-dessus. Mais concrètement avez vous déja réussi a obtenir un CA SLL Gratuit ?

si oui avec quelle méthode ?

Merci de vos conseils
eric_car
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 14 Oct 2004 18:06

Messagepar fraedhrim » 30 Jan 2007 11:30

Salut,

En même temps faut-il vraiment considérer que tout doit être gratuit en ce bas monde...
Il y a une limite entre communautarisme et fourniture de service.
Ce qui fait la valeur d'une autorité de certification c'est le sérieux de son organisation.
Difficile dans cette configuration d'espérer un service gratuit. Peut-être pour les particuliers mais difficile là aussi de faire la part des choses pour le prestataire.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar Nemric » 08 Oct 2007 19:55

Salut,

Je ressort ce post car, avec CACERT.org, j'ai testé le certificat signé par une autorité de confiance gratuitement.
Par contre le certificat est valide seulement 6 mois, et jusqu'à 2-3 ans après avoir obtenu des points auprès de personnes de confiance qui justifient de votre identité grâce à vos papiers d'identité (c'est tout pele mele, mais ca resume bien)

bref, le problème est ensuite d'installer ce certif sur SME (fait avec une 7.2), et ce post intervient :
http://forums.contribs.org/index.php?topic=34624.0

qui dit de créer un fichier appelé "cacert_csr_request", en root, dans un dossier "~/cacert/" contenant :

# mkdir ~/cacert
# cd ~/cacert

Code: Tout sélectionner
#!/usr/bin/perl

use strict;
use esmith::util;
use esmith::ConfigDB;
use esmith::DomainsDB;

my $config   = esmith::ConfigDB->open;
my $domainsdb = esmith::DomainsDB->open_ro;

my $domain = $config->get('DomainName')->value;
my %domain_names = map { $_->{key} => 1 } grep { $_->key ne $domain } $domainsdb->domains;

my @domains = ($domain, keys %domain_names);

open(CONFIG, ">$domains[0].config") or die "Can't open openssl config file: $!";
print CONFIG "HOME = .\nRANDFILE = \$ENV::HOME/.rnd\n\n";
print CONFIG "[ req ]\ndefault_bits = 1024\ndistinguished_name = req_distinguished_name\n";
print CONFIG "req_extensions = v3_req\nprompt = no\n\n";
print CONFIG "[ req_distinguished_name ]\nCN = $domains[0]\n\n";
print CONFIG "[ v3_req ]\nbasicConstraints = CA:FALSE\nkeyUsage = nonRepudiation,digitalSignature,keyEncipherment\n";
print CONFIG "subjectAltName = critical,", join ",", map { "DNS:$_,DNS:*.$_" } @domains;
print CONFIG "\n";
close(CONFIG) or die "Closing openssl config file reported: $!";

unless ( -f "$domains[0].key" )
{
    open(KEY, ">$domains[0].key") or die "Can't open key file: $!";
    unless (open(SSL,"-|"))
    {
        exec("/usr/bin/openssl",
            qw(genrsa -rand),
            join(':',
            qw(
                /proc/apm
                /proc/cpuinfo
                /proc/dma
                /proc/filesystems
                /proc/interrupts
                /proc/ioports
                /proc/bus/pci/devices
                /proc/rtc
                /proc/uptime
                )),
            '1024')
            || die "can't exec program: $!";
    }
    while (<SSL>)
    {
        print KEY $_;
    }
    close(SSL) or die "Closing openssl pipe reported: $!";
    close(KEY) or die "Closing key file reported: $!";
}

open(CSR, ">$domains[0].csr") or die "Can't open csr $!";
unless (open(SSL,"-|"))
{
    exec("/usr/bin/openssl",
        qw(req -config), "$domains[0].config",
        qw(-new -key), "$domains[0].key",
        qw(-days 730 -set_serial), time())
        || die "can't exec program: $!";
}
while (<SSL>)
{
    print CSR $_;
}
close(SSL) or die "Closing openssl pipe reported: $!";
close(CSR) or die "Closing csr file reported: $!";


et ensuite

Code: Tout sélectionner
# chmod u+x cacert_csr_request
# ./cacert_csr_request
# cat {domain}.csr
** coller ici le contenu du "certificat de domaine" obtenu sur CACERT.ORG ~/cacert/{domain}.crt
# cp {domain}.crt /home/e-smith/ssl.crt/{domain}.crt
# cp {domain}.key /home/e-smith/ssl.key/{domain}.key
# config setprop modSSL crt /home/e-smith/ssl.crt/{domain}.crt
# config setprop modSSL key /home/e-smith/ssl.key/{domain}.key
# signal-event console-save


en remplaçant {domaine} par votre domaine principal ex : "i-nemric.fr"

le fichier de code crée une demande de certificat pour tous les domaines principaux et sous domaines "*.i-nemric.fr" gérés par SME, cette demande est à copier/coller au format texte sur cacert.org, dans la case CSR.

pour que cela fonctionne il faut installer le certificat ROOT de cacert.org dans vos navigateurs et clients de courrier.

<(>
Pour ceux qui comme moi doivent installer un certificat pour que le plugin funambol de thunderbird fonctionne, il faut aussi installer le certificat ROOT dans internet explorer, car ce plugin utilise wininet.dll pour acceder à internet, donc thunderbird ne suffit pas ...
</)>

voilà, à renouveler tous les 6 mois

Bye
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar MasterSleepy » 17 Oct 2007 11:43

Salut Nemric,

Excellent ça fonctionne nickel chez moi, merci bcp pour l'astuce.

Mais, car il y a toujours un mais.
Le service imaps et pop3s utilise un certificat, /var/service/imap/ssl/imapd.pem, qui a l'air d'être la concaténation de deux certificats, la clé privé RSA et le certificat.
Cela ressemble aux fichiers {domain}.key et {domain}.crt.

Je pense que l'on peut concaténer les deux fichiers et relancer les deux services mais je pense que se fichier est généré automatiquement mais je ne sais pas comment??

Quelqu'un aurait une idée??

Merci,
A+,
MasterSleepy.
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar Mikeyy72 » 17 Oct 2007 14:12

Bonjour,

Ca fonctionne nikel également chez moi ...

Sauf peut-être pour IE7 ... qui me dit que le certificat est bien installer, mais me met toujours une alerte lorsque je vais dans mon server-manager ou mon webmail par exemple !!

Quant à Firefox, pas de souci !!
Mikeyy72
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 156
Inscrit le: 09 Oct 2006 11:42

Messagepar fraedhrim » 17 Oct 2007 16:02

Bonjour,

Il doit y avoir un truc que j'ai loupé ou que je ne pige pas.
Je ne comprends pas l'intérêt d'un certificat signé par une CA qui ne fait pas partie de la liste des CA généralement intégrées aux navigateurs web.
S'il faut passer par cette manip d'intégration du root CA pour ne plus avoir d'alerte de certificat pourquoi ne pas simplement intégrer le certificat natif autosigné de la SME au magasin de certificats de votre navigateur préféré ?

Mais bon il doit y avoir un loup...
Je suis curieux.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar mad666 » 20 Déc 2007 16:44

bonjour,

moi ca ne marche pas.
quand je met le contenu dans le csr sur le site de cacert , il me met ce message d'erreur:

"Le champ du Nom Commun (CommonName) était vide. Ceci est habituellement provoqué en écrivant votre propre nom quand OpenSSL vous demande 'VOTRE NOM' ('YOUR NAME'), ou si vous essayez de délivrer des certificats pour des domaines que vous n'avez pas vérifié, dans ce cas le processus ne peut pas continuer."

pourtant j'ai suivi à la lettre le tuto.

Si quelqu'un a une idée, je suis preneur....
@+
mad666
Matelot
Matelot
 
Messages: 3
Inscrit le: 23 Nov 2007 15:30

Messagepar Nemric » 20 Déc 2007 17:37

Salut,

ou si vous essayez de délivrer des certificats pour des domaines que vous n'avez pas vérifié


Est tu sur que tu as bien creé et fais vérifié ton domaine ?
- Lorsque tu est conecté a ton compte cacert, domaines/ajouter ; puis une procedure automatique t'envoi un mail a une adresse de type postmaster@MonDomaineAVerifier.com. ensuite tu valide apres reception du mail et a ce moment tu peux faire ta demande via le CSR

A plus

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar mad666 » 21 Déc 2007 10:12

Salut Nemric,

merci de me repondre.

oui j'ai bien crée et vérifier mon domaine.

C'est ce que j'ai fait en premier.

Y a t'il quelque chose à modifier dans le fichier "cacert_csr_request" parceque je ne l'ai pas modifier je l'ai laisser tel quel (peut etre que ca vient de la)

merci
a+

#!/usr/bin/perl

use strict;
use esmith::util;
use esmith::ConfigDB;
use esmith::DomainsDB;

my $config = esmith::ConfigDB->open;
my $domainsdb = esmith::DomainsDB->open_ro;

my $domain = $config->get('DomainName')->value;
my %domain_names = map { $_->{key} => 1 } grep { $_->key ne $domain } $domainsdb->domains;

my @domains = ($domain, keys %domain_names);

open(CONFIG, ">$domains[0].config") or die "Can't open openssl config file: $!";
print CONFIG "HOME = .\nRANDFILE = \$ENV::HOME/.rnd\n\n";
print CONFIG "[ req ]\ndefault_bits = 1024\ndistinguished_name = req_distinguished_name\n";
print CONFIG "req_extensions = v3_req\nprompt = no\n\n";
print CONFIG "[ req_distinguished_name ]\nCN = $domains[0]\n\n";
print CONFIG "[ v3_req ]\nbasicConstraints = CA:FALSE\nkeyUsage = nonRepudiation,digitalSignature,keyEncipherment\n";
print CONFIG "subjectAltName = critical,", join ",", map { "DNS:$_,DNS:*.$_" } @domains;
print CONFIG "\n";
close(CONFIG) or die "Closing openssl config file reported: $!";

unless ( -f "$domains[0].key" )
{
open(KEY, ">$domains[0].key") or die "Can't open key file: $!";
unless (open(SSL,"-|"))
{
exec("/usr/bin/openssl",
qw(genrsa -rand),
join(':',
qw(
/proc/apm
/proc/cpuinfo
/proc/dma
/proc/filesystems
/proc/interrupts
/proc/ioports
/proc/bus/pci/devices
/proc/rtc
/proc/uptime
)),
'1024')
|| die "can't exec program: $!";
}
while (<SSL>)
{
print KEY $_;
}
close(SSL) or die "Closing openssl pipe reported: $!";
close(KEY) or die "Closing key file reported: $!";
}

open(CSR, ">$domains[0].csr") or die "Can't open csr $!";
unless (open(SSL,"-|"))
{
exec("/usr/bin/openssl",
qw(req -config), "$domains[0].config",
qw(-new -key), "$domains[0].key",
qw(-days 730 -set_serial), time())
|| die "can't exec program: $!";
}
while (<SSL>)
{
print CSR $_;
}
close(SSL) or die "Closing openssl pipe reported: $!";
close(CSR) or die "Closing csr file reported: $!";
mad666
Matelot
Matelot
 
Messages: 3
Inscrit le: 23 Nov 2007 15:30

Messagepar Nemric » 21 Déc 2007 14:46

Salut,

Je devais le faire depuis quelques temps deja, c'est fait ! j'ai ajouter un nom de domaine a SME apres l'avoir acheter à un registrar.
j'ai donc refait la manipulation ... et j'ai 1 certificat pour mes 2 domaines !

tout fonctionne bien sans rien ajouter ou modifier, juste quelques copier/coller

regarde peut être du côté des parametres SME, nom, description pour les domaines ... quelque chose qui ferait que le "CommonName" est pas renseigné.

en effet, le script gere un fichier openssl.conf qui doit contenir le "CommonName". je ne sais pas ou il est :|

A bientôt

Nemric
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon

Messagepar sibsib » 21 Déc 2007 21:28

Hello,

Tiens, ta manip m'intéresse :

Voici ce que j'avais compris à propos des certificats et du multi-homing : çà marche pas !

Je détaille :

Le principe du multi homing, c'est d'héberger plusieurs sites sur une seule adresse IP. Cà fonctionne, parce que le protocole HTTP a prévu que le client transfère au serveur le nom du serveur qu'il a demandé.

En HTTPS, le problème est le suivant : les différents échanges SSL ont lieu au niveau échange d'adresse IP.

Donc, au moment ou le serveur présente son certificat à son client, il ne sait pas encore quel site ce client va demander. Il renvoie donc toujours le certificat par défaut.
C'est seulement une fois l'encryption activée que le client formule sa demande, et donc que le serveur peut l'aiguiller.

Or toi, tu installes 2 certificats. C'est donc que soit mon raisonnement n'est pas bon, soit que tu possèdes plusieurs adresses IP, soit que tu utilises ce certificat à d'autres fins ?

Donc, si tu peux éclairer ma lanterne...

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité