Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian SSL + Postfix et Dovecot

SSL + Postfix et Dovecot

17 réponses
Avatar
andre_debian
Bonne ann=E9e 2013 =E0 tous !

je n'arrive pas =E0 s=E9curiser avec SSL mon serveur de Mails
sous Postfix et POP3 (Dovecot).

J'avais bien un certificat SSL qui s'est p=E9rim=E9.
Malgr=E9 bien des recherches sur Internet,
je n'arrive pas =E0 remettre un certificat.
J'ai donc d=FB retir=E9 cette option.

Y a t-il une solution de certificat gratuite ?

Je recherche un tutoriel qui explique bien la manip,
=E0 la fois c=F4t=E9 MTA et MUA.

Merci d'avance.

Andr=E9

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201301082127.07789.andre_debian@numericable.fr
Signaler un problème avec ce contenu

7 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
andre_debian
On Thursday 10 January 2013 12:56:59 Bzzz wrote:
On Thu, 10 Jan 2013 12:46:51 +0100
wrote:
> C'est bien ce que j'ai indiqué :
> "Le certificat du serveur n'a pas réussi le test d'authenticità ©"
> "accepter le certificat définitivement" = OUI
> mais à chaque fois il me le demande.
> Il semble qu'il n'accepte pas ce certificat "auto-signé" ...

Ben t'utilises quoi comme MUA? Parce que je n'ai rencontré
ce PB ni avec icedove, ni claws-mail et pas non plus avec
celui d'iceape :



J'utilise Kmail.

Il y a bien la rubrique "outils" => "Gestionnaire de certificats"
je tombe sur une fenêtre "Kleopatra" =>
"importer des certificats" ...
mais je ne sais comment faire.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Thu, 10 Jan 2013 13:11:12 +0100
wrote:

Il y a bien la rubrique "outils" => "Gestionnaire de certificats"
je tombe sur une fenêtre "Kleopatra" =>
"importer des certificats" ...
mais je ne sais comment faire.



Ben tu lui dis d'aller pêcho le mmm.ddd-cert.pem
dans /etc/postfix/SSL.

C'est l'inconvénient des WMs "tout intégrés" comme KDE,
rien ne prévient qu'il y a des autres pièces en mouvement
et quand on en a besoin, ça coince.

--
BobleTampon> Derniere question, Monkey essaie de sauver l'honneur, Comment
s'appelle les réunions ou des dirigeants religieux font d es
hypothèses et des suppositions sur le dogme et la bible ?
<Strip04> des conciles.
<Monkey> Des suppositoires.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
andre_debian
On Thursday 10 January 2013 12:56:59 Bzzz wrote:
wrote:
> C'est bien ce que j'ai indiqué :
> "Le certificat du serveur n'a pas réussi le test d'authenticità ©"
> "accepter le certificat définitivement" = OUI
> mais à chaque fois il me le demande.
> Il semble qu'il n'accepte pas ce certificat "auto-signé" ...

Ben t'utilises quoi comme MUA? Parce que je n'ai rencontré
ce PB ni avec icedove, ni claws-mail et pas non plus avec
celui d'iceape.

O_o, donc il y a de bonnes chances que je me sois trompé:
il faut vraisemblablement éditer /etc/ssl/openssl.cnf pour
qu'il soit en accord avec les scripts (FQDN de la machine
plus les parms de 'subj' dans le script #2, _exactement_
à l'identique)



J'ai rempli les champs dans ce paragraphe de "opensssl.cnf" :
[ req_distinguished_name ]
countryName = FR
countryName_default = FR
etc ....

Il faut obligatoirement créer un certificat "dovecot.pem"
sinon dovecot affiche un message d'erreur lors de :
# /etc/init.d/dovecot restart

A la relève du courrier avec Kmail, j'ai ce message :
"le certificat est auto-signé et ainsi ne peut être digne de conf iance"
"le certificat n'a pas été produit pour cet hôte"

Le certificat que j'ai créé semble affiché par Kmail.

Ainsi, comment créer un certificat auto-signé et/ou gratuit
accepté par le MUA ?

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Fri, 11 Jan 2013 13:24:47 +0100
wrote:

J'ai rempli les champs dans ce paragraphe de "opensssl.cnf" :
[ req_distinguished_name ]
countryName = FR
countryName_default = FR
etc ....



Bien, les '_default' étant les perms qui sont proposés
par défaut lorsque tu crées qq chose de nouveau.

Re-vérifie 2 fois que tout ça correspond _exactement_ à la
chaîne qui suit '--subj'.

Il faut obligatoirement créer un certificat "dovecot.pem"
sinon dovecot affiche un message d'erreur lors de :
# /etc/init.d/dovecot restart



Il y a possibilité de faire marcher dovecot avec postfix,
il existe un howto Tbien fait sur le web pour ça.

A la relève du courrier avec Kmail, j'ai ce message :
"le certificat est auto-signé et ainsi ne peut être digne de co nfiance"
"le certificat n'a pas été produit pour cet hôte"



C'est explicite, le FQDN (en l'occurence 'myserver.mydomain')
_DOIT_ correspondre au nom DNS de ta machine.

Par ex. si ton domaine est 'lan' et ta machine 'server',
le FQDN est 'server.lan'; normalement un reverse DNS query
doit renvoyer cela.

Ex: nslookup 192.168.1.10 (ton IP)
doit renvoyer: server.lan

Le certificat que j'ai créé semble affiché par Kmail.



C'est son empreinte ainsi que les différents parms.

Ainsi, comment créer un certificat auto-signé et/ou gratuit
accepté par le MUA ?



Refais la manip correctement.

--
eaSy dit: OK on parie une nuit de saiks, si je perds tu couches avec moi
sinon l'inverse :D
la BlOnde du 57 dit: okay mais tu vas perdre et moi jserais tranquille
eaSy dit: ...au moins tu mérites ton pseudo..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Tue, Jan 08, 2013 at 09:27:07PM +0100,
wrote
a message of 27 lines which said:

je n'arrive pas à sécuriser avec SSL mon serveur de Mails sous
Postfix et POP3 (Dovecot).



Pour Postfix, une modeste doc' en
<http://www.bortzmeyer.org/postfix-tls.html>

J'avais bien un certificat SSL qui s'est périmé.



Le terme technique correct est « certificat X.509 ».

Y a t-il une solution de certificat gratuite ?



Comme suggéré par Alain Vaugham, CAcert
<http://www.bortzmeyer.org/cacert.html>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Wed, Jan 09, 2013 at 08:05:21PM +0100,
wrote
a message of 73 lines which said:

Je tape cette commande dans "/usr/lib/ssl/misc/demoCA"
Le répertoire CERT est bien dans ~demoCA

# openssl ca -out CERT/andre-cert.pem -infiles CERT/andre-req.pem



OpenSSL est très dur à utiliser. Cela n'a d'intérêt que si on veut
créer sa propre AC (Autorité de Certification) ou si on veut
absolument comprendre tous les détails.

Si on veut juste un certificat, il faut utiliser CAcert
<http://www.bortzmeyer.org/cacert.html>.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Wed, Jan 09, 2013 at 12:30:57AM +0100,
mouss wrote
a message of 59 lines which said:

il faut bien comprendre la différence entre le "mail" et le "web".



Dans le cas présent, il n'y a aucune différence. TLS et X.509
fonctionnent de la même façon pour SMTP et pour HTTP.

web: avec ton navigateur, tu veux te connecter à n'importe quel serveur
mail: avec ton mailer, tu veux te connecter à un ou quelques serveurs



Ah ? Moi, j'écris à des tas de gens, situés sur des tas de serveurs,
partout sur la planète.

du coup, pour le mail, ça n'apporte rien de savoir que le certificat
du serveur est signé par patati-padaboum ou son oncle



Ben si. Les risques sont exactement les mêmes qu'avec HTTP et la
solution est la même.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2