J'ai un petit problèe avec un serveur Sparc tournant sous Linux
debian. Les daemons ipop3d et imapd tournent grâce à un xinetd. Tout
se passe bien pour les accès pop3 et imap sans ssl, mais lorsque
j'essaye un pop3s, j'obtiens dans les logs :
Nov 21 12:21:56 zebigbos ipop3d[2884]: Unable to load private key from
/etc/ssl/certs/ipop3d.pem, host=alavacomgetepus.makalis.fr
[62.212.113.222]
Nov 21 12:21:56 zebigbos ipop3d[2884]: SSL error status:
error:0906D06C:PEM routines:PEM_read_bio:no start line
Nov 21 12:21:56 zebigbos ipop3d[2884]: SSL error status:
error:140B3009:SSL routines:SSL_CTX_use_RSAPrivateKey_file:PEM lib
J'ai pourtant essayé de recréer un fichier pem avec :
sans grand résultat ! Ce qui m'inquiète, c'est que ce truc
fonctionnait il y a quelque temps (je pense que le problème est
arrivé avec une mise à jour, mais je ne vois pas trop ce qui
pourrait causer le problème). J'ai mis en cause le client (mozilla
1.5) et le serveur, et je n'arrive déjà pas à savoir lequel des deux
est en cause... Une idée ?
Root zebigbos:[/usr/share/doc/ipopd-ssl] > openssl version
OpenSSL 0.9.7c 30 Sep 2003
et debian testing.
Merci de votre aide,
JKB
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Cette commande ne fonctionne pas, pour 2 raisons: * tu n'as pas indiqué à OpenSSL quel type de clé tu souhaitais générer. C'est un argument à passer après -newkey, par exemple: "-newkey rsa:1024" pour une clé RSA de 1024 bits * tu ne spécifies pas dans quel fichier tu souhaites stocker la clé privée, et dans ce cas, elle se trouve dans le fichier appelé "privkey.pem" situé dans le répertoire courant. stunnel a besoin de trouver le certificat et la clé dans le même fichier, tu dois donc dire à OpenSSL que tu veux que la clé soit stockée dans le même fichier, il faut ajouter l'option "-keyout ipop3d.pem" à ta commande.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon animation, mais le machin auromatique MAJORDOMO me renvoit toujours la même foutu page d'instruction de code. Comment ca marche ? -+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Bonjour,
On 21 Nov 2003, JKB wrote:
Nov 21 12:21:56 zebigbos ipop3d[2884]: Unable to load private key from
/etc/ssl/certs/ipop3d.pem, host=alavacomgetepus.makalis.fr
Là, stunnel t'indique qu'il n'arrive pas à trouver une clé privée dans
ton fichier.
[62.212.113.222]
Nov 21 12:21:56 zebigbos ipop3d[2884]: SSL error status:
error:0906D06C:PEM routines:PEM_read_bio:no start line
Et là, il dit pourquoi (il n'a pas trouvé le marqueur de début, qui est :
"-----BEGIN RSA PRIVATE KEY-----" si tu as généré une clé RSA.
Vérifie que ton fichier ipop3d.pem contient bien un certificat (-----BEGIN
CERTIFICATE-----), *et* une clé privée (-----BEGIN RSA PRIVATE KEY-----).
J'ai pourtant essayé de recréer un fichier pem avec :
Cette commande ne fonctionne pas, pour 2 raisons:
* tu n'as pas indiqué à OpenSSL quel type de clé tu souhaitais générer.
C'est un argument à passer après -newkey, par exemple:
"-newkey rsa:1024" pour une clé RSA de 1024 bits
* tu ne spécifies pas dans quel fichier tu souhaites stocker la clé
privée, et dans ce cas, elle se trouve dans le fichier appelé
"privkey.pem" situé dans le répertoire courant. stunnel a besoin de
trouver le certificat et la clé dans le même fichier, tu dois donc dire
à OpenSSL que tu veux que la clé soit stockée dans le même fichier, il
faut ajouter l'option "-keyout ipop3d.pem" à ta commande.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon
animation, mais le machin auromatique MAJORDOMO me renvoit toujours la
même foutu page d'instruction de code. Comment ca marche ?
-+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Cette commande ne fonctionne pas, pour 2 raisons: * tu n'as pas indiqué à OpenSSL quel type de clé tu souhaitais générer. C'est un argument à passer après -newkey, par exemple: "-newkey rsa:1024" pour une clé RSA de 1024 bits * tu ne spécifies pas dans quel fichier tu souhaites stocker la clé privée, et dans ce cas, elle se trouve dans le fichier appelé "privkey.pem" situé dans le répertoire courant. stunnel a besoin de trouver le certificat et la clé dans le même fichier, tu dois donc dire à OpenSSL que tu veux que la clé soit stockée dans le même fichier, il faut ajouter l'option "-keyout ipop3d.pem" à ta commande.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon animation, mais le machin auromatique MAJORDOMO me renvoit toujours la même foutu page d'instruction de code. Comment ca marche ? -+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init from xxx.yyy.zzz.www (ma passerelle)
C'est le seul message, et aucune authentification ne se fait. J'ai essayé aussi telnet mail.sss.fff 995, même punition. En tuant le telnet en question, j'obtiens dans les logs :
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init
from xxx.yyy.zzz.www (ma passerelle)
C'est le seul message, et aucune authentification ne se fait. J'ai
essayé aussi telnet mail.sss.fff 995, même punition. En tuant le
telnet en question, j'obtiens dans les logs :
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init from xxx.yyy.zzz.www (ma passerelle)
C'est le seul message, et aucune authentification ne se fait. J'ai essayé aussi telnet mail.sss.fff 995, même punition. En tuant le telnet en question, j'obtiens dans les logs :
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
C'est bien. Tu as donc créé un certificat autosigné, et une clé privée chiffrée, le tout dans un seul fichier appelé ipop3d.pem.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init from xxx.yyy.zzz.www (ma passerelle)
C'est un bon début, et ce message n'indique rien de mauvais.
C'est le seul message, et aucune authentification ne se fait. J'ai essayé aussi telnet mail.sss.fff 995, même punition. En tuant le telnet en question, j'obtiens dans les logs :
Ah ben ça, par contre, ça signifie que le service attendait en fait que tu entres le mot de passe pour déchiffrer la clé (celui que tu as entré à la commande 'openssl req ...'). Si ce service n'a rien prévu pour lire le mot de passe depuis le terminal avant de jouer les daemons, ben il bloque.
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé privée chiffrée, tu dois alors faire en sorte que la clé privée se trouvant dans le fichier ipop3d.pem ne soit pas chiffrée: touch mykey.pem chmod 600 mykey.pem openssl rsa -in ipop3d.pem -out mykey.pem et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc -----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux ensuite supprimer le fichier mykey.pem.
Attention, ton fichier ipop3d.pem (et le fichier mykey.pem pendant sa brêve existence) ne doit pas être lisible par quelqu'un d'autre que root. C'est pour cela que j'ai ajouté les chmod (et créé un fichier vide avant l'appel 'openssl rsa ...'). Un petit 'chmod 600 ipop3d.pem' ne fait donc pas de mal.
La meilleure solution est bien évidemment d'utiliser une clé privée chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne dois utiliser une clé non chiffrée que: - si tu as besoin que ton serveur redémarre tout seul comme un grand après un crash quelconque (bug, coupure de courant, ...) - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes fichiers sensibles
Bon POP3/SSL.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Computers can never replace human stupidity.
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
C'est bien. Tu as donc créé un certificat autosigné, et une clé privée
chiffrée, le tout dans un seul fichier appelé ipop3d.pem.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init
from xxx.yyy.zzz.www (ma passerelle)
C'est un bon début, et ce message n'indique rien de mauvais.
C'est le seul message, et aucune authentification ne se fait. J'ai
essayé aussi telnet mail.sss.fff 995, même punition. En tuant le
telnet en question, j'obtiens dans les logs :
Ah ben ça, par contre, ça signifie que le service attendait en fait que tu
entres le mot de passe pour déchiffrer la clé (celui que tu as entré à la
commande 'openssl req ...'). Si ce service n'a rien prévu pour lire le mot
de passe depuis le terminal avant de jouer les daemons, ben il bloque.
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde
la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé
privée chiffrée, tu dois alors faire en sorte que la clé privée se
trouvant dans le fichier ipop3d.pem ne soit pas chiffrée:
touch mykey.pem
chmod 600 mykey.pem
openssl rsa -in ipop3d.pem -out mykey.pem
et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc
-----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le
bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux
ensuite supprimer le fichier mykey.pem.
Attention, ton fichier ipop3d.pem (et le fichier mykey.pem pendant sa
brêve existence) ne doit pas être lisible par quelqu'un d'autre que root.
C'est pour cela que j'ai ajouté les chmod (et créé un fichier vide avant
l'appel 'openssl rsa ...'). Un petit 'chmod 600 ipop3d.pem' ne fait donc
pas de mal.
La meilleure solution est bien évidemment d'utiliser une clé privée
chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne
dois utiliser une clé non chiffrée que:
- si tu as besoin que ton serveur redémarre tout seul comme un grand
après un crash quelconque (bug, coupure de courant, ...)
- si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes
fichiers sensibles
Bon POP3/SSL.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
Computers can never replace human stupidity.
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
C'est bien. Tu as donc créé un certificat autosigné, et une clé privée chiffrée, le tout dans un seul fichier appelé ipop3d.pem.
et j'obtiens invariablement dans /var/log/syslog :
Nov 25 10:43:32 zebigbos ipop3d[7474]: pop3s SSL service init from xxx.yyy.zzz.www (ma passerelle)
C'est un bon début, et ce message n'indique rien de mauvais.
C'est le seul message, et aucune authentification ne se fait. J'ai essayé aussi telnet mail.sss.fff 995, même punition. En tuant le telnet en question, j'obtiens dans les logs :
Ah ben ça, par contre, ça signifie que le service attendait en fait que tu entres le mot de passe pour déchiffrer la clé (celui que tu as entré à la commande 'openssl req ...'). Si ce service n'a rien prévu pour lire le mot de passe depuis le terminal avant de jouer les daemons, ben il bloque.
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé privée chiffrée, tu dois alors faire en sorte que la clé privée se trouvant dans le fichier ipop3d.pem ne soit pas chiffrée: touch mykey.pem chmod 600 mykey.pem openssl rsa -in ipop3d.pem -out mykey.pem et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc -----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux ensuite supprimer le fichier mykey.pem.
Attention, ton fichier ipop3d.pem (et le fichier mykey.pem pendant sa brêve existence) ne doit pas être lisible par quelqu'un d'autre que root. C'est pour cela que j'ai ajouté les chmod (et créé un fichier vide avant l'appel 'openssl rsa ...'). Un petit 'chmod 600 ipop3d.pem' ne fait donc pas de mal.
La meilleure solution est bien évidemment d'utiliser une clé privée chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne dois utiliser une clé non chiffrée que: - si tu as besoin que ton serveur redémarre tout seul comme un grand après un crash quelconque (bug, coupure de courant, ...) - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes fichiers sensibles
Bon POP3/SSL.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Computers can never replace human stupidity.
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
JKB
Le 25-11-2003, à propos de Re: ipop3d, SSL et debian, Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Bonjour,
Bonjour,
Je suis désolé d'insister, mais je dois être un peu buté ;-)
<snip>
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé privée chiffrée, tu dois alors faire en sorte que la clé privée se trouvant dans le fichier ipop3d.pem ne soit pas chiffrée: touch mykey.pem chmod 600 mykey.pem openssl rsa -in ipop3d.pem -out mykey.pem et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc -----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux ensuite supprimer le fichier mykey.pem.
Mes utilisateurs utilisent (ce n'est pas très joli comme formule, mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend des utilisateurs, ceux qui ont une machine windows en imap à cause des sauvegardes, et les unixiens en pop3). Ce qui me dérange fondamentalement, c'est que je n'ai jamais fait une telle manipulation et que cela fonctionnait... Donc question subsidiaire qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de générer une clef automatiquement et en un seul coup ?
La meilleure solution est bien évidemment d'utiliser une clé privée chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne dois utiliser une clé non chiffrée que: - si tu as besoin que ton serveur redémarre tout seul comme un grand après un crash quelconque (bug, coupure de courant, ...) - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Bon POP3/SSL.
Merci pour tout,
JKB
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Le 25-11-2003, à propos de
Re: ipop3d, SSL et debian,
Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Bonjour,
Bonjour,
Je suis désolé d'insister, mais je dois être un peu buté ;-)
<snip>
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde
la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé
privée chiffrée, tu dois alors faire en sorte que la clé privée se
trouvant dans le fichier ipop3d.pem ne soit pas chiffrée:
touch mykey.pem
chmod 600 mykey.pem
openssl rsa -in ipop3d.pem -out mykey.pem
et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc
-----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le
bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux
ensuite supprimer le fichier mykey.pem.
Mes utilisateurs utilisent (ce n'est pas très joli comme formule,
mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend
des utilisateurs, ceux qui ont une machine windows en imap à cause
des sauvegardes, et les unixiens en pop3). Ce qui me dérange
fondamentalement, c'est que je n'ai jamais fait une telle
manipulation et que cela fonctionnait... Donc question subsidiaire
qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de
générer une clef automatiquement et en un seul coup ?
La meilleure solution est bien évidemment d'utiliser une clé privée
chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne
dois utiliser une clé non chiffrée que:
- si tu as besoin que ton serveur redémarre tout seul comme un grand
après un crash quelconque (bug, coupure de courant, ...)
- si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes
fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Bon POP3/SSL.
Merci pour tout,
JKB
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Le 25-11-2003, à propos de Re: ipop3d, SSL et debian, Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Bonjour,
Bonjour,
Je suis désolé d'insister, mais je dois être un peu buté ;-)
<snip>
Je ne sais plus quel logiciel tu utilises pour ça (stunnel?), mais regarde la doc à propos des clés privées chiffrées. S'il n'accepte pas une clé privée chiffrée, tu dois alors faire en sorte que la clé privée se trouvant dans le fichier ipop3d.pem ne soit pas chiffrée: touch mykey.pem chmod 600 mykey.pem openssl rsa -in ipop3d.pem -out mykey.pem et tu dois ensuite éditer le fichier ipop3d.pem, et remplacer le bloc -----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- par le bloc équivalent que tu trouveras dans le fichier mykey.pem. Tu peux ensuite supprimer le fichier mykey.pem.
Mes utilisateurs utilisent (ce n'est pas très joli comme formule, mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend des utilisateurs, ceux qui ont une machine windows en imap à cause des sauvegardes, et les unixiens en pop3). Ce qui me dérange fondamentalement, c'est que je n'ai jamais fait une telle manipulation et que cela fonctionnait... Donc question subsidiaire qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de générer une clef automatiquement et en un seul coup ?
La meilleure solution est bien évidemment d'utiliser une clé privée chiffrée, quitte à ce que le serveur te demande la clé au démarrage. Tu ne dois utiliser une clé non chiffrée que: - si tu as besoin que ton serveur redémarre tout seul comme un grand après un crash quelconque (bug, coupure de courant, ...) - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Bon POP3/SSL.
Merci pour tout,
JKB
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Erwann ABALEA
Bonjour,
On 26 Nov 2003, JKB wrote:
Le 25-11-2003, à propos de Re: ipop3d, SSL et debian, Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Je suis désolé d'insister, mais je dois être un peu buté ;-)
Meuh non.
[...]
Mes utilisateurs utilisent (ce n'est pas très joli comme formule, mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend des utilisateurs, ceux qui ont une machine windows en imap à cause des sauvegardes, et les unixiens en pop3).
Ca, c'est du côté de vos utilisateurs. Mais de votre côté? Il me semble que vous avez parlé de stunnel au début de ce thread, mais j'ai oublié. D'un autre côté, laissez tomber, c'est pas grave.
Ce qui me dérange fondamentalement, c'est que je n'ai jamais fait une telle manipulation et que cela fonctionnait...
J'en doute un peu... Comme je doute que vous ayez déjà effectué un 'openssl req -newkey' sans préciser le type de la clé (rsa:1024). J'utilise openssl depuis qu'il s'appelle SSLeay (donc bien avant), et il a toujours fallu: * préciser le format de la clé à générer * passer une option spécifique pour ne pas chiffrer le clé (sauf lors d'un appel à 'openssl genrsa')
qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de générer une clef automatiquement et en un seul coup ?
Oui. Ajouter l'option '-nodes' à l'appel de 'openssl req ...' pour générer à la fois votre clé privée et votre certificat autosigné. De cette manière, la clé ne sera pas chiffrée.
> - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes > fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Un peu de lecture de la doc devrait vous aider, puisque vous administrez un serveur... ;)
Pour obtenir un peu d'aide: "openssl req -help" est un bon début.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- SL> Au fait elle est mieux ma signature maintenant ? Oui. T'enlève encore les conneries que t'as écrit dedans et c'est bon. -+- JB in <http://neuneu.mine.nu> : Le neueuttoyage par le vide -+-
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
Bonjour,
On 26 Nov 2003, JKB wrote:
Le 25-11-2003, à propos de
Re: ipop3d, SSL et debian,
Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Je suis désolé d'insister, mais je dois être un peu buté ;-)
Meuh non.
[...]
Mes utilisateurs utilisent (ce n'est pas très joli comme formule,
mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend
des utilisateurs, ceux qui ont une machine windows en imap à cause
des sauvegardes, et les unixiens en pop3).
Ca, c'est du côté de vos utilisateurs. Mais de votre côté? Il me semble
que vous avez parlé de stunnel au début de ce thread, mais j'ai oublié.
D'un autre côté, laissez tomber, c'est pas grave.
Ce qui me dérange
fondamentalement, c'est que je n'ai jamais fait une telle
manipulation et que cela fonctionnait...
J'en doute un peu... Comme je doute que vous ayez déjà effectué un
'openssl req -newkey' sans préciser le type de la clé (rsa:1024).
J'utilise openssl depuis qu'il s'appelle SSLeay (donc bien avant), et il a
toujours fallu:
* préciser le format de la clé à générer
* passer une option spécifique pour ne pas chiffrer le clé (sauf lors
d'un appel à 'openssl genrsa')
qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de
générer une clef automatiquement et en un seul coup ?
Oui. Ajouter l'option '-nodes' à l'appel de 'openssl req ...' pour générer
à la fois votre clé privée et votre certificat autosigné. De cette
manière, la clé ne sera pas chiffrée.
> - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes
> fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Un peu de lecture de la doc devrait vous aider, puisque vous administrez
un serveur... ;)
Pour obtenir un peu d'aide: "openssl req -help" est un bon début.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
SL> Au fait elle est mieux ma signature maintenant ?
Oui. T'enlève encore les conneries que t'as écrit dedans et c'est bon.
-+- JB in <http://neuneu.mine.nu> : Le neueuttoyage par le vide -+-
--
Pour contacter l'équipe de modération : moderateurs-fcolm@efrei.fr
ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans
la liste de distribution des modérateurs.
Le 25-11-2003, à propos de Re: ipop3d, SSL et debian, Erwann ABALEA écrivait dans fr.comp.os.linux.moderated :
Je suis désolé d'insister, mais je dois être un peu buté ;-)
Meuh non.
[...]
Mes utilisateurs utilisent (ce n'est pas très joli comme formule, mais bon...) mozilla (1.5) en mode SSL sur imap ou pop3 (cela dépend des utilisateurs, ceux qui ont une machine windows en imap à cause des sauvegardes, et les unixiens en pop3).
Ca, c'est du côté de vos utilisateurs. Mais de votre côté? Il me semble que vous avez parlé de stunnel au début de ce thread, mais j'ai oublié. D'un autre côté, laissez tomber, c'est pas grave.
Ce qui me dérange fondamentalement, c'est que je n'ai jamais fait une telle manipulation et que cela fonctionnait...
J'en doute un peu... Comme je doute que vous ayez déjà effectué un 'openssl req -newkey' sans préciser le type de la clé (rsa:1024). J'utilise openssl depuis qu'il s'appelle SSLeay (donc bien avant), et il a toujours fallu: * préciser le format de la clé à générer * passer une option spécifique pour ne pas chiffrer le clé (sauf lors d'un appel à 'openssl genrsa')
qui risque d'intéresser tout le monde : n'y a-t-il pas moyen de générer une clef automatiquement et en un seul coup ?
Oui. Ajouter l'option '-nodes' à l'appel de 'openssl req ...' pour générer à la fois votre clé privée et votre certificat autosigné. De cette manière, la clé ne sera pas chiffrée.
> - si tu sais protégérer l'accès à ta machine, et que tu protèges bien tes > fichiers sensibles
Pas de problème, j'ai des tendances paranoïaques ;-)
Un peu de lecture de la doc devrait vous aider, puisque vous administrez un serveur... ;)
Pour obtenir un peu d'aide: "openssl req -help" est un bon début.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- SL> Au fait elle est mieux ma signature maintenant ? Oui. T'enlève encore les conneries que t'as écrit dedans et c'est bon. -+- JB in <http://neuneu.mine.nu> : Le neueuttoyage par le vide -+-
-- Pour contacter l'équipe de modération : ATTENTION: Postez DIRECTEMENT vos articles dans le groupe, PAS dans la liste de distribution des modérateurs.
