Académique Documents
Professionnel Documents
Culture Documents
Installation et utilisation
d'un certificat
Icewarp France
octobre 2007
2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9
Sommaire
Introduction................................................................................................................3
Situation initiale .................................................................................................4
Client de Messagerie...................................................................................4
Client Webmail ..........................................................................................4
Générer un certificat ...........................................................................................5
Certificat auto signé ...................................................................................6
Certificat Commercial .................................................................................7
Générer la demande de certificat à envoyer à l'autorité de certification.........7
Insérer le certificat dans Icewarp Merak .............................................................. 11
Installer le certificat sur les postes clients ............................................................ 11
Transmettre le certificat aux postes clients.................................................. 12
Définir le compte catalogue................................................................... 12
Communiquer la procédure aux utilisateurs ............................................ 14
Vérifier la prise en compte du certificat................................................................ 22
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 3
Introduction
La suite Icewarp Merak supporte tous les protocoles de messagerie en mode normal et en mode
sécurisé (SSL). Ainsi, le serveur Icewarp peut être contacté avec les protocoles SMTP(s), POP(s),
IMAP(s) et HTTP(s).
Pour des raisons de sécurité, il est conseillé de ne permettre que l'accès sécurisé quand la connexion
vient d'une machine extérieure au réseau de l'entreprise (le cas se présente souvent avec le cleint
Webmail). L'administrateur peut bien sûr également exiger une connexion sécurisée même pour des
connexions venant du réseau local.
Lors d’une connexion en mode SSL, un échange de certificat a lieu qui permet au client de vérifier
l'identité du serveur. La suite Icewarp s'installe avec un certificat serveur par défaut qui est signé par
l'éditeur.
Par définition, ce certificat étant générique, il ne correspond jamais au nom spécifique d’une
installation. De plus, l'éditeur Icewarp n'étant pas une autorité de certification, ne figure pas dans la
liste des autorités préconfigurées dans les logiciels couramment utilisés tels Internet Explorer, Outlook,
Outlook Express, Mozilla Firefox, Mozilla Thunderbird, Netscape browser, Netscape Messenger…
Pour cette raison, même si la connexion en mode SSL entre le client (soit un client de messagerie, soit
un navigateur) fonctionne "out of the box", le client affiche des avertissements pour indiquer que le
certificat reçu de la part du serveur n'a pas passé tous les contrôles.
Ce document explique comment générer et installer son propre certificat pour ne plus avoir des
avertissements lors des connexions en mode SSL.
Clients de messagerie : N'importe lequel client de messagerie conforme à la norme RFC 822 peut
être utilisé pour envoyer/recevoir ses mails.
Standard Sécurisé
SMTP 25 465
POP 110 995
IMAP 143 993
Client Webmail : L'application Webmail tourne avec un serveur Web intégré au produit. Cette
application peut être accédée sur le port http ou sur le port https. Par défaut, le port http est le port
32000 et le port https est le port 32001. L'administrateur du serveur peut changer ces deux valeurs.
Dans la suite, le nom utilisé est ‘mail.domain.com’ – c'est le nom DNS de la machine où le logiciel
Icewarp est installé. Il est généralement la valeur du paramètre "Serveur:" du menu Serveur de
Messagerie -> Service SMTP -> l'onglet "Général". Il faut le remplacer par le nom approprié.
4 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9
Situation initiale
Client de Messagerie
Quand un compte configuré sur client de messagerie (ici Outlook), contacte le serveur Icewarp
(mail.domain.com) en mode SSL, la fenêtre suivante apparaît :
• Le premier message indique que le certificat renvoyé par le serveur contacté en mode
POP(s)/IMAP(s) ne fait pas partie des autorités de confiance.
• Le second message indique que ce certificat est délivré pour une adresse autre que
mail.domain.com.
Client Webmail
• Le premier message indique que le certificat renvoyé par le serveur qui répond à l'adresse
https://mail.domain.com ne fait pas partie des autorités de confiance.
• Le second message indique que ce certificat est délivré pour une adresse autre que
https://mail.domain.com.
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 5
ou sur Mozilla:
A l'installation du produit Icewarp Merak Mail Server, un certificat (fichier cert.pem) est installé par
défaut dans "<répertoire d'installation de Merak>\config". Ce fichier correspond à un certificat signé
par l'éditeur (IceWarp). Comme l'éditeur Icewarp ne fait pas partie des autorités de confiance
reconnues par les clients de messagerie et les navigateurs et puisque le nom du certificat ne
correspond pas au site accédé (ici, mail.domain.com), ces avertissements sont affichés.
Générer un certificat
Il y a deux possibilités de générer et signer un certificat:
• Créer le certificat avec des outils 'open' : openssl et le signer (on parle d'un certificat auto-
signé)
• Acheter un certificat à son nom auprès d'une autorité de certification (Verisign, Thawte,
Comodo…)
Dans les deux cas, on va générer le certificat pour correspondre au nom du serveur mail. En revanche,
dans le premier cas, il y aura besoin de faire une étape supplémentaire d'installation du certificat sur
chaque poste – car un certificat auto-signé ne fera jamais partie de la distribution standard des
logiciels clients (clients de messagerie et navigateurs).
Auto-signé Commercial
Générer le certificat et le signer • Générer une demande de signature
(CSR, Certificate Signing Request)
ainsi que la clé privée
• Envoyer la demande à une autorité de
certification
• A la réception de son certificat,
préparer le fichier à insérer dans la
6 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9
configuration Merak
Ajouter le certificat dans la liste des certificats gérés dans le serveur Icewarp
Insérer le certificat dans la liste des
autorités – à faire une seule fois sur
chaque machine faisant tourner le
logiciel client*
Accéder aux services Icewarp (SMTP, POP, IMAP, http) en sécurisé
* Les éditeurs d'une suite de produits partagent le même repository pour la liste des autorités de
certification. Dans la méthode auto-signé, si on ajoute le certificat auto-signé dans un client, il est
automatiquement pris en compte par l'autre logiciel de la série :
Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire
temporaire. ex: 'certificat').
Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de
l’URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé
par https://mail.domain.com
Certificat Commercial
Générer la demande de certificat à envoyer à l'autorité de certification
Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire
temporaire. ex: 'certificat').
Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de
la URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé
par https://mail.domain.com
Le fichier signed-cert.pem (certificat signé par l'autorité) doit avoir le format suivant :
10 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9
Ouvrir ce fichier signed-cert.pem dans un éditeur de texte (Bloc-Notes, Notepad, PSPad, Notepad++)
– mais pas avec un logiciel de traitement de texte comme Word ou OpenOffice.
Copier le contenu du fichier 'cert.pem' (la clé privée générée par la commande request-ca.cmd) et
coller ce contenu en début du fichier 'signed-cert.pem' ouvert dans l'éditeur de texte.
On voit qu'un seul avertissement est maintenant présent. Le nom contenu dans le certificat
correspondant à la URL, le second avertissement n'est plus affiché.
Dans le cas présent, le détenteur du domaine a lui-même créé son certificat et il l'a signé. Les
navigateurs contiennent une liste d'autorités de confiance et il ne s'agit là que des organismes connus
et certifiés qui délivrent des certificats. Le créateur de son propre certificat ne se trouvera donc jamais
par défaut dans les paramètres des navigateurs.
Il s'agit donc d'une séquence à exécuter sur chaque navigateur des postes qui vont utiliser le serveur
Icewarp en mode sécurisé – soit à partir d'un client de messagerie, soit à partir d'un client Webmail.
Sur une même machine, il faut répéter la procédure une fois pour Microsoft Internet Explorer, une fois
pour Mozilla Firefox, une fois pour Netscape Navigator… En revanche, la mise à jour de Microsoft
Internet Explorer est prise en compte par Microsoft Outlook, celle de Mozilla Firefox par Mozilla
Thunderbird…
Il s'agit de l'utilisation d'un compte du type 'catalogue'. Un compte catalogue peut contenir plusieurs
catalogues, chaque catalogue étant un seul fichier sur disque du serveur ou un répertoire sur le disque
du serveur.
En envoyant un mail formaté au compte catalogue, l'expéditeur du mail recevra en retour tous les
fichiers contenus dans le catalogue.
Le mail sera envoyé au nom indiqué par l'alias. Il est conseillé de protéger ce compte par un mot de
passe (Ce mot de passe doit être communiqué aux utilisateurs potentiels du Webmail).
Cocher la case "commande dans l'objet". Ainsi, un mail vide avec juste la commande dans l'objet du
mail fera le nécessaire (voir plus loin).
Ensuite, on va créer un seul catalogue dans ce compte et un article dans ce catalogue (ici, le compte
s'appelle 'certificatweb', le catalogue s'appelle 'certificat' et le seul fichier du catalogue est le certificat
client généré précédemment).
14 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9
1. A partir de la machine qui sera utilisée pour accéder au Webmail Icewarp Merak en mode
https, l'utilisateur rédige un mail suivant
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 15
Il peut même utiliser Icewarp Merak Webmail comme le client pour envoyer ce mail – il y accédera
(pour cette fois-ci) en ignorant l'avertissement affiché par le navigateur.
2. Immédiatement, il recevra dans sa boîte de réception un mail expédié par le compte catalogue
et contenant le certificat client comme en attachement:
Internet explorer
1. A la fin de l'enregistrement, ouvrir le certificat
4. Cliquer sur ‘Suivant >’. L’assistant demande la manière dont le certificat doit être installé.
6. Cliquer sur ‘Terminer’. Répondre 'Oui' dans la fenêtre de confirmation. L’installation est
terminée.
Mozilla FireFox
2. Cliquer sur 'Examiner le certificat'. On voit que les informations présentées sont tout à fait
correctes.
4. Ouvrir une nouvelle session du navigateur. La page de login du Webmail Icewarp est affichée
sans aucun avertissement. A présence du cadenas assure l'établissement d'ue connexion
sécurisée avec le serveur Icewarp:
Une connexion à partir d'un client de messagerie se fait également sans aucune fenêtre de pop-up
d'avertissement.