SME 8 et Certificats Gandi

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME 8 et Certificats Gandi

Messagepar sibsib » 08 Jan 2011 22:38

Bonjour,

Ayant mon nom de domaine chez Gandi, en renouvelant mon domaine, je gagne un certificat SSL valide. Je me suis donc mis dans l'idée de l'utiliser.

*** La particularité de Gandi, c'est que l'autorité de certification de Gandi n'est pas forcément reconnue partout. Il faut donc ajouter un certificat intermédiaire dans la boucle, ce que SME ne fait pas tout a fait naturellement ***

Attention, toutes les manips ont été faites sur SME 8, mais je tends à penser que c'est pareil pour SME 7.5

Il ne s'agit pas d'un document qui explique tous les choix, mais d'un mode 'bout à bout'

Je retranscris de mémoire, mais çà doit être assez exact.

1) génération sur SME des fichiers csr et key pour faire la demande chez Gandi.
Code: Tout sélectionner
openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr
Generating a 2048 bit RSA private key
..+++
........+++
writing new private key to 'a.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR
State or Province Name (full name) [Berkshire]:.
Locality Name (eg, city) [Newbury]:Paris
Organization Name (eg, company) [My Company Ltd]:Schirrms Studio
Organizational Unit Name (eg, section) []:Home
Common Name (eg, your name or your server's hostname) []:www.schirrms.net
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Inutile de mettre comme nom de domaine *.votredomaine.tld, cette option n'est disponible que pour des certificats plus chers.
Perso, j'ai mis http://www.schirrms.net, et, bonne surprise, mon certificat est valable pour http://www.schirrms.net et également pour schirrms.net

2) dépot du .csr chez gandi, en indiquant comme source 'apache'

3) attente du certificat en retour

récupérer votre fichier crt, et également le fichier .pem de gandi, vous en aurez besoin.

Un peu de préparation pour SME (Sans cela, le fichier d'autorité intermédiaire est pris pour le Web, mais pas pour le mail) :
Code: Tout sélectionner
mkdir -p /etc/e-smith/templates-custom/home/e-smith/ssl.pem
vi /etc/e-smith/templates-custom/home/e-smith/ssl.pem/60pem
# contenu de 60pem
{
    my $pem = $modSSL{'CertificateChainFile'};
    if ($pem)
    {
        open(PEM, $pem) or warn "Intermediate Certificate File defined, but cannot open $pem : $!";
        my @pem = <PEM>;
        chomp @pem;
        $OUT = join "\n", @pem;
        close PEM;
    }
}


Après, en inspiration pialasse :-)
Code: Tout sélectionner
mkdir /root/sslsauve
export LH=$HOSTNAME.`config gettype DomainName`
mv /home/e-smith/ssl.crt/* /root/sslsauve
mv /home/e-smith/ssl.key/* /root/sslsauve
mv /home/e-smith/ssl.pem/* /root/sslsauve

# il s'agit du fichier .key de l'étape 1
cp server.key /home/e-smith/ssl.key/$LH.key
# Il s'agit du certificat revenu de chez Gandi
cp cert-{votre nom de domaine.crt  /home/e-smith/ssl.crt/$LH.crt
# Il s'agit du certificat intermédiaire de Gandi. Sans ce certificat, mon site passait sous IE, mais pas sous Firefox ?
# Attention : ne surtout pas appeler le ficher nom-de-domaine.pem, car ce ficher sera regénéré plus tard !!!
cp GandiStandardSSLCA.pem /home/e-smith/ssl.pem/GandiStandardSSLCA.pem

# A ce moment, si vous redémarrez votre serveur WEB, votre certificat est actif ... jusqu'à la prochaine reconfiguration de SME ! Pas bon...
# Il faut faire savoir à SME que l'on ne veut plus de ses certificat self signed :
# Pour cela, trois ajouts dans la database :
config setprop modSSL crt /home/e-smith/ssl.crt/$LH.crt
config setprop modSSL key /home/e-smith/ssl.key/$LH.key
# la ligne suivante est pour prendre en compte le certificat intermédiaire de Gandi.
config setprop modSSL CertificateChainFile /home/e-smith/ssl.pem/GandiStandardSSLCA.pem

# prise en compte des changements :
signal-event domain-modify
signal-event email-update


Voilà ! Votre certificat est appliqué sur votre site web, sur votre accès IMAPS (à priori aussi POPS, pas testé) et SSMTP.

Enjoy :-)

Ceci est le résultat de plusieurs recherches sur le web, notamment sur le site de gandi, sur contribs.org et sur le site de JPP

Merci à toutes mes sources :-)

A+,
Pascal
Dernière édition par sibsib le 09 Jan 2011 11:44, édité 1 fois au total.
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Re: SME 8 et Certificats Gandi

Messagepar bethebeast » 08 Jan 2011 23:10

sibsib a écrit:Merci à toutes mes sources :-)


En tout cas, merci à toi pour le partage, ça servira sûrement :)

@+
---
There is no place like 127.0.0.1
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Re: SME 8 et Certificats Gandi

Messagepar sibsib » 09 Jan 2011 11:47

Hello,

Je viens d'éditer un peu le bouzin, le certificat intermédiaire de Gandi n'était pas pris en compte pour le mail.

En fait, le processus de certificat intermédiaire n'est pas complètement pris en compte dans SME, je vais ouvrir un bug sur le tracker.

Comme d'hab, retours bienvenus ;-)

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Re: SME 8 et Certificats Gandi

Messagepar unnilennium » 13 Jan 2011 00:36

Merci Sibsib pour les sources ;)

effectivement j'avais remarqué que CertificateChainFile marchais super pour le web

par contre j'ai pas de soucis pour l'email sans ta manip ... le fournisseur etant OVH mais necessitant un chainfile pour le web aussi....

mais ceci dit je suis sous SME 7 ... peut etre comparer les templates pour trouver la reponse


JP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: SME 8 et Certificats Gandi

Messagepar sibsib » 13 Jan 2011 23:29

Hello,

Là, tu me surprends, car dans le bugtracker de SME, le problème que j'ai rencontré est référencé depuis 2008. Par contre, lors de mes tests, je n'ai pas vu le problème tout de suite. Le thunderbird avec lequel je faisais les tests avait accepté sans rechigner. C'est mon Android qui faisait la $%#&!... D'un autre côté, IE8 se passait du chainedFile, apparemment, il reconnait Gandi comme une 'vraie' autorité ;-)

A mon avis, il vaut quand même mieux faire l'ajout (d'autant que Charlie Brady a proposé une correction du même accabit que la mienne, et quand Charlie le dit ;-) )

A +, et encore merci pour ton article qui m'a bien aidé,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Re: SME 8 et Certificats Gandi

Messagepar unnilennium » 14 Jan 2011 18:38

héhé ben tu as trouvé la réponse

je n'utilsie que thunderbird


de rien

j'ai recemment mis a jour celui de contribs pour d'autres exigences venant de certain forunisseurs de certif qui veulent certaines info que le script ne donnait pas




++
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: SME 8 et Certificats Gandi

Messagepar unnilennium » 28 Jan 2011 23:34

Après essais sur une config neuve qui n'as jamais eu de certif signé par Ovh ... je te remercie Sibsib pour ton travail... effectivement il manque ce template


JP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron