Depuis des années, j'ai un serveur debian qui sert à l'envoi et à la
réception de mails. La configuration est la suivante :
- sendmail
- courier-imap-ssl
- courier-pop3-ssl
Les certificats sont auto-signés.
Pour les serveurs imap et pop3, j'ai des fichiers pem sur le
serveur et toute la ribambelle pour sendmail/TLS.
Avec Thunderbird, je n'ai aucun problème. Il suffit d'accepter une
fois pour toute le certificat et tout fonctionne. Même chose avec
Seamonkey. Avec Outlook 2007, j'ai droit à chaque connexion sur le
serveur à une fenêtre "certificat invalide".
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Bien cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
dyrmak
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ. D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ? Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès. Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ? dyrmak -- O sea la indiferencia ++++ --- ++++ Linux operating system ++++ --- ++++
En 38 lignes JKB a écrit
dans news:slrnq0tb5f.db1.jkb@rayleigh.systella.fr
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Bien cordialement,
Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?
dyrmak
--
O sea la indiferencia
++++ --- ++++
Linux operating system
++++ --- ++++
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ. D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ? Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès. Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ? dyrmak -- O sea la indiferencia ++++ --- ++++ Linux operating system ++++ --- ++++
JKB
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC), dyrmak écrivait :
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ. D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ? Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès. Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ?
Bonjour, Je ne transfère rien à la main. J'utilise les outils microsoftiens de IE et de Outlook. J'espère qu'ils ne récupèrent que la clef publique. De toute façon, les clefs publiques ne sont pas accessibles par les daemons côté serveur. Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de certificat racine. Je viens de vérifier. Seul les certificats clients sont exportés. Cordialement, JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
dyrmak <dyrmak@quelite.terre.invalid> écrivait :
En 38 lignes JKB a écrit
dans news:slrnq0tb5f.db1.jkb@rayleigh.systella.fr
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ? Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Bien cordialement,
Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?
Bonjour,
Je ne transfère rien à la main. J'utilise les outils microsoftiens
de IE et de Outlook. J'espère qu'ils ne récupèrent que la clef
publique. De toute façon, les clefs publiques ne sont pas
accessibles par les daemons côté serveur.
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
certificat racine. Je viens de vérifier. Seul les certificats
clients sont exportés.
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC), dyrmak écrivait :
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé"). J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ. D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ? Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès. Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ?
Bonjour, Je ne transfère rien à la main. J'utilise les outils microsoftiens de IE et de Outlook. J'espère qu'ils ne récupèrent que la clef publique. De toute façon, les clefs publiques ne sont pas accessibles par les daemons côté serveur. Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de certificat racine. Je viens de vérifier. Seul les certificats clients sont exportés. Cordialement, JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Ascadix
JKB a écrit dans : <news:
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC), dyrmak écrivait :
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé").
C'est à dire dans la liste de certificats servant à valider les signatures de fichiers/programems téléchargés, pas les connexions SSL/TLS.
J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ.
Ben c'est normal vu tes manip.
D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ?
La manip habituelle quand tu utilise une PKI privée, c'est de fournir le cartificat de la root CA ou de l'éventuelle racine secondaire qui à servit lors de la création du certificat serveur SSL. Ensuite, met ce certificat de CA dans le magasin des CA de confiance des softs clients.
Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès.
Les PKI privées, c'est complexe, surtout quand les utilisateurs à l'autre bout sont habituées à un tel bordel de "tier de confiance" déclarés comme tel par les éditeurs (Microsoft bien sur, mais Google, Mozilla et d'autres) sans le consentement éclairé des utilisateurs finaux et sans comprendre le chainage à la mord-moi-le-.... de ce joyeux bordel qu'est SSL. C'est encore pire quand t'as divers softs clients, qui gérent chacun ça à leur sauce, de façon +/- propre/cohérente/explicite.
Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ?
Bonjour, Je ne transfère rien à la main. J'utilise les outils microsoftiens de IE et de Outlook.
C'est kifkif, magasin Windows.
J'espère qu'ils ne récupèrent que la clef publique.
Il récupére ce que le serveur fourni.
De toute façon, les clefs publiques ne sont pas accessibles par les daemons côté serveur.
Faut espérer ...
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de certificat racine. Je viens de vérifier. Seul les certificats clients sont exportés.
Certificats clients ????? Tu veux dire certificats serveurs, ceux que tu install dans apache et Cie, pour le HTTPS ou dans ton serveur IMAP pour le IMAPS et kikif ? Parceque un 'certificat client', c'est pour authentifier le poste client, voir l'utilisateur par abus de language. Et TB tout comme FF c'un peu du n'importe quoi pour ce qui est de respecter une chaine de certificats, Windows et par conséquence IE/Outlook sont bien plus pro sur ce point. Met ton certificat de root CA dans la magsain des root CA de confiance. Au pire, mais c'est pas propre, met le certificat serveur dans le magasin des intermédiaires de confiance.
Cordialement, JKB
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
JKB a écrit dans <slrnq14r9d.d52.jkb@rayleigh.systella.fr>:
<news:slrnq14r9d.d52.jkb@rayleigh.systella.fr>
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC),
dyrmak <dyrmak@quelite.terre.invalid> écrivait :
En 38 lignes JKB a écrit
dans news:slrnq0tb5f.db1.jkb@rayleigh.systella.fr
le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer
dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous
"éditeur autorisé").
C'est à dire dans la liste de certificats servant à valider les
signatures de fichiers/programems téléchargés, pas les connexions
SSL/TLS.
J'ai bien rajouté dans les paramètres avancés
le fait que ces deux certificats servent au client mail. Rien n'y
fait, cette fichu fenêtre apparaît à tout bout de champ.
Ben c'est normal vu tes manip.
D'où ma question : comment faire manger à ce fichu logiciel des
certificats auto-signés ?
La manip habituelle quand tu utilise une PKI privée, c'est de fournir
le cartificat de la root CA ou de l'éventuelle racine secondaire qui à
servit lors de la création du certificat serveur SSL. Ensuite, met ce
certificat de CA dans le magasin des CA de confiance des softs clients.
Avant de poser la question ici, j'ai
naturellement regardé ce qui pouvait se dire sur internet sans
succès.
Les PKI privées, c'est complexe, surtout quand les utilisateurs à
l'autre bout sont habituées à un tel bordel de "tier de confiance"
déclarés comme tel par les éditeurs (Microsoft bien sur, mais Google,
Mozilla et d'autres) sans le consentement éclairé des utilisateurs
finaux et sans comprendre le chainage à la mord-moi-le-.... de ce
joyeux bordel qu'est SSL.
C'est encore pire quand t'as divers softs clients, qui gérent chacun ça
à leur sauce, de façon +/- propre/cohérente/explicite.
Bien cordialement,
Bonjour,
C'est comme si locate toto trouve toto et mv toto désolé
toto n'existe pas....
Un doute,.... Il me semblerait que le seul et unique certificat
à transférer sur le client n'est autre que la clé publique de
votre fichier racine... Dans /etc/mail j'ai un dossier <certs>
qui contient la racine CA ( unique clé publique ) et mon
certificat sendamail.pem qui lui contient la publique et la
privéé, celui-là NE DOIT JAMAIS être transféré.... Il a
même des droits spéciaux.
Mais apparement vous n'avez que le dossier tls ?
Bonjour,
Je ne transfère rien à la main. J'utilise les outils microsoftiens
de IE et de Outlook.
C'est kifkif, magasin Windows.
J'espère qu'ils ne récupèrent que la clef
publique.
Il récupére ce que le serveur fourni.
De toute façon, les clefs publiques ne sont pas
accessibles par les daemons côté serveur.
Faut espérer ...
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de
certificat racine. Je viens de vérifier. Seul les certificats
clients sont exportés.
Certificats clients ?????
Tu veux dire certificats serveurs, ceux que tu install dans apache et
Cie, pour le HTTPS ou dans ton serveur IMAP pour le IMAPS et kikif ?
Parceque un 'certificat client', c'est pour authentifier le poste
client, voir l'utilisateur par abus de language.
Et TB tout comme FF c'un peu du n'importe quoi pour ce qui est de
respecter une chaine de certificats, Windows et par conséquence
IE/Outlook sont bien plus pro sur ce point.
Met ton certificat de root CA dans la magsain des root CA de confiance.
Au pire, mais c'est pas propre, met le certificat serveur dans le
magasin des intermédiaires de confiance.
Cordialement,
JKB
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Le Thu, 13 Dec 2018 14:07:04 +0000 (UTC), dyrmak écrivait :
En 38 lignes JKB a écrit dans news: le lundi, 10 décembre 2018 à 19:13:02 :
J'ai donc téléchargé les deux certificats et tenté de les installer dans le dépôt avec Internet Explorer. Ils y sont tous deux (sous "éditeur autorisé").
C'est à dire dans la liste de certificats servant à valider les signatures de fichiers/programems téléchargés, pas les connexions SSL/TLS.
J'ai bien rajouté dans les paramètres avancés le fait que ces deux certificats servent au client mail. Rien n'y fait, cette fichu fenêtre apparaît à tout bout de champ.
Ben c'est normal vu tes manip.
D'où ma question : comment faire manger à ce fichu logiciel des certificats auto-signés ?
La manip habituelle quand tu utilise une PKI privée, c'est de fournir le cartificat de la root CA ou de l'éventuelle racine secondaire qui à servit lors de la création du certificat serveur SSL. Ensuite, met ce certificat de CA dans le magasin des CA de confiance des softs clients.
Avant de poser la question ici, j'ai naturellement regardé ce qui pouvait se dire sur internet sans succès.
Les PKI privées, c'est complexe, surtout quand les utilisateurs à l'autre bout sont habituées à un tel bordel de "tier de confiance" déclarés comme tel par les éditeurs (Microsoft bien sur, mais Google, Mozilla et d'autres) sans le consentement éclairé des utilisateurs finaux et sans comprendre le chainage à la mord-moi-le-.... de ce joyeux bordel qu'est SSL. C'est encore pire quand t'as divers softs clients, qui gérent chacun ça à leur sauce, de façon +/- propre/cohérente/explicite.
Bien cordialement,
Bonjour, C'est comme si locate toto trouve toto et mv toto désolé toto n'existe pas.... Un doute,.... Il me semblerait que le seul et unique certificat à transférer sur le client n'est autre que la clé publique de votre fichier racine... Dans /etc/mail j'ai un dossier <certs> qui contient la racine CA ( unique clé publique ) et mon certificat sendamail.pem qui lui contient la publique et la privéé, celui-là NE DOIT JAMAIS être transféré.... Il a même des droits spéciaux. Mais apparement vous n'avez que le dossier tls ?
Bonjour, Je ne transfère rien à la main. J'utilise les outils microsoftiens de IE et de Outlook.
C'est kifkif, magasin Windows.
J'espère qu'ils ne récupèrent que la clef publique.
Il récupére ce que le serveur fourni.
De toute façon, les clefs publiques ne sont pas accessibles par les daemons côté serveur.
Faut espérer ...
Si j'utilise Thunderbird, ça fonctionne _sans_ exporter de certificat racine. Je viens de vérifier. Seul les certificats clients sont exportés.
Certificats clients ????? Tu veux dire certificats serveurs, ceux que tu install dans apache et Cie, pour le HTTPS ou dans ton serveur IMAP pour le IMAPS et kikif ? Parceque un 'certificat client', c'est pour authentifier le poste client, voir l'utilisateur par abus de language. Et TB tout comme FF c'un peu du n'importe quoi pour ce qui est de respecter une chaine de certificats, Windows et par conséquence IE/Outlook sont bien plus pro sur ce point. Met ton certificat de root CA dans la magsain des root CA de confiance. Au pire, mais c'est pas propre, met le certificat serveur dans le magasin des intermédiaires de confiance.
Cordialement, JKB
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
