Certificat auto-signé et Outlook 2007

3 réponses
Avatar
JKB
Bonsoir à tous,

Depuis des années, j'ai un serveur debian qui sert à l'envoi et à la
réception de mails. La configuration est la suivante :
- sendmail
- courier-imap-ssl
- courier-pop3-ssl

Les certificats sont auto-signés.

Pour les serveurs imap et pop3, j'ai des fichiers pem sur le
serveur et toute la ribambelle pour sendmail/TLS.

Avec Thunderbird, je n'ai aucun problème. Il suffit d'accepter une
fois pour toute le certificat et tout fonctionne. Même chose avec
Seamonkey. Avec Outlook 2007, j'ai droit à chaque connexion sur le
serveur à une fenêtre "certificat invalide".

J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.

D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.

Bien cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

3 réponses

Avatar
dyrmak
En 38 lignes JKB a écrit
dans news:
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Bien cordialement,

Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?
dyrmak
--
O sea la indiferencia
++++ --- ++++
Linux operating system
++++ --- ++++
Avatar
JKB
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
dyrmak écrivait :
En 38 lignes JKB a écrit
dans news:
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Bien cordialement,

Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?

Bonjour,
Je ne transfère rien à la main. J'utilise les outils microsoftiens
de IE et de Outlook. J'espère qu'ils ne récupèrent que la clef
publique. De toute façon, les clefs publiques ne sont pas
accessibles par les daemons côté serveur.
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
certificat racine. Je viens de vérifier. Seul les certificats
clients sont exportés.
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Avatar
Ascadix
JKB a écrit dans :
<news:
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
dyrmak écrivait :
En 38 lignes JKB a écrit
dans news:
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé").



C'est à dire dans la liste de certificats servant à valider les
signatures de fichiers/programems téléchargés, pas les connexions
SSL/TLS.
J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.



Ben c'est normal vu tes manip.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ?



La manip habituelle quand tu utilise une PKI privée, c'est de fournir
le cartificat de la root CA ou de l'éventuelle racine secondaire qui à
servit lors de la création du certificat serveur SSL. Ensuite, met ce
certificat de CA dans le magasin des CA de confiance des softs clients.
Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.



Les PKI privées, c'est complexe, surtout quand les utilisateurs à
l'autre bout sont habituées à un tel bordel de "tier de confiance"
déclarés comme tel par les éditeurs (Microsoft bien sur, mais Google,
Mozilla et d'autres) sans le consentement éclairé des utilisateurs
finaux et sans comprendre le chainage à la mord-moi-le-.... de ce
joyeux bordel qu'est SSL.
C'est encore pire quand t'as divers softs clients, qui gérent chacun ça
à leur sauce, de façon +/- propre/cohérente/explicite.
Bien cordialement,

Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?

Bonjour,
Je ne transfère rien à la main. J'utilise les outils microsoftiens
de IE et de Outlook.

C'est kifkif, magasin Windows.
J'espère qu'ils ne récupèrent que la clef
publique.

Il récupére ce que le serveur fourni.
De toute façon, les clefs publiques ne sont pas
accessibles par les daemons côté serveur.

Faut espérer ...
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
certificat racine. Je viens de vérifier. Seul les certificats
clients sont exportés.

Certificats clients ?????
Tu veux dire certificats serveurs, ceux que tu install dans apache et
Cie, pour le HTTPS ou dans ton serveur IMAP pour le IMAPS et kikif ?
Parceque un 'certificat client', c'est pour authentifier le poste
client, voir l'utilisateur par abus de language.
Et TB tout comme FF c'un peu du n'importe quoi pour ce qui est de
respecter une chaine de certificats, Windows et par conséquence
IE/Outlook sont bien plus pro sur ce point.
Met ton certificat de root CA dans la magsain des root CA de confiance.
Au pire, mais c'est pas propre, met le certificat serveur dans le
magasin des intermédiaires de confiance.
Cordialement,
JKB

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.