Vous êtes sur la page 1sur 23

1

IceWarp Merak Mail Server

Installation et utilisation
d'un certificat

Icewarp France
octobre 2007
2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Sommaire
Introduction................................................................................................................3
Situation initiale .................................................................................................4
Client de Messagerie...................................................................................4
Client Webmail ..........................................................................................4
Générer un certificat ...........................................................................................5
Certificat auto signé ...................................................................................6
Certificat Commercial .................................................................................7
Générer la demande de certificat à envoyer à l'autorité de certification.........7
Insérer le certificat dans Icewarp Merak .............................................................. 11
Installer le certificat sur les postes clients ............................................................ 11
Transmettre le certificat aux postes clients.................................................. 12
Définir le compte catalogue................................................................... 12
Communiquer la procédure aux utilisateurs ............................................ 14
Vérifier la prise en compte du certificat................................................................ 22
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 3

Introduction
La suite Icewarp Merak supporte tous les protocoles de messagerie en mode normal et en mode
sécurisé (SSL). Ainsi, le serveur Icewarp peut être contacté avec les protocoles SMTP(s), POP(s),
IMAP(s) et HTTP(s).

Pour des raisons de sécurité, il est conseillé de ne permettre que l'accès sécurisé quand la connexion
vient d'une machine extérieure au réseau de l'entreprise (le cas se présente souvent avec le cleint
Webmail). L'administrateur peut bien sûr également exiger une connexion sécurisée même pour des
connexions venant du réseau local.

Lors d’une connexion en mode SSL, un échange de certificat a lieu qui permet au client de vérifier
l'identité du serveur. La suite Icewarp s'installe avec un certificat serveur par défaut qui est signé par
l'éditeur.

Par définition, ce certificat étant générique, il ne correspond jamais au nom spécifique d’une
installation. De plus, l'éditeur Icewarp n'étant pas une autorité de certification, ne figure pas dans la
liste des autorités préconfigurées dans les logiciels couramment utilisés tels Internet Explorer, Outlook,
Outlook Express, Mozilla Firefox, Mozilla Thunderbird, Netscape browser, Netscape Messenger…

Pour cette raison, même si la connexion en mode SSL entre le client (soit un client de messagerie, soit
un navigateur) fonctionne "out of the box", le client affiche des avertissements pour indiquer que le
certificat reçu de la part du serveur n'a pas passé tous les contrôles.

Ce document explique comment générer et installer son propre certificat pour ne plus avoir des
avertissements lors des connexions en mode SSL.

Il traite deux types de clients : clients de messagerie et client Webmail

Clients de messagerie : N'importe lequel client de messagerie conforme à la norme RFC 822 peut
être utilisé pour envoyer/recevoir ses mails.

A l'installation, les services Merak écoutent sur les ports standards* :

Standard Sécurisé
SMTP 25 465
POP 110 995
IMAP 143 993

*Il n'est pas conseillé de modifier ces valeurs par défaut.

Client Webmail : L'application Webmail tourne avec un serveur Web intégré au produit. Cette
application peut être accédée sur le port http ou sur le port https. Par défaut, le port http est le port
32000 et le port https est le port 32001. L'administrateur du serveur peut changer ces deux valeurs.

Dans la suite, le nom utilisé est ‘mail.domain.com’ – c'est le nom DNS de la machine où le logiciel
Icewarp est installé. Il est généralement la valeur du paramètre "Serveur:" du menu Serveur de
Messagerie -> Service SMTP -> l'onglet "Général". Il faut le remplacer par le nom approprié.
4 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Situation initiale
Client de Messagerie

Quand un compte configuré sur client de messagerie (ici Outlook), contacte le serveur Icewarp
(mail.domain.com) en mode SSL, la fenêtre suivante apparaît :

• Le premier message indique que le certificat renvoyé par le serveur contacté en mode
POP(s)/IMAP(s) ne fait pas partie des autorités de confiance.
• Le second message indique que ce certificat est délivré pour une adresse autre que
mail.domain.com.

Client Webmail

En accédant le Webmail du serveur Icewarp Merak (https://mail.domain.com:32001/webmail ), le


navigateur affiche un avertissement.

Ex: sur Internet explorer,

• Le premier message indique que le certificat renvoyé par le serveur qui répond à l'adresse
https://mail.domain.com ne fait pas partie des autorités de confiance.
• Le second message indique que ce certificat est délivré pour une adresse autre que
https://mail.domain.com.
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 5

ou sur Mozilla:

A l'installation du produit Icewarp Merak Mail Server, un certificat (fichier cert.pem) est installé par
défaut dans "<répertoire d'installation de Merak>\config". Ce fichier correspond à un certificat signé
par l'éditeur (IceWarp). Comme l'éditeur Icewarp ne fait pas partie des autorités de confiance
reconnues par les clients de messagerie et les navigateurs et puisque le nom du certificat ne
correspond pas au site accédé (ici, mail.domain.com), ces avertissements sont affichés.

Générer un certificat
Il y a deux possibilités de générer et signer un certificat:

• Créer le certificat avec des outils 'open' : openssl et le signer (on parle d'un certificat auto-
signé)
• Acheter un certificat à son nom auprès d'une autorité de certification (Verisign, Thawte,
Comodo…)

Dans les deux cas, on va générer le certificat pour correspondre au nom du serveur mail. En revanche,
dans le premier cas, il y aura besoin de faire une étape supplémentaire d'installation du certificat sur
chaque poste – car un certificat auto-signé ne fera jamais partie de la distribution standard des
logiciels clients (clients de messagerie et navigateurs).

La différence dans la procédure est indiquée dans le tableau suivant

Auto-signé Commercial
Générer le certificat et le signer • Générer une demande de signature
(CSR, Certificate Signing Request)
ainsi que la clé privée
• Envoyer la demande à une autorité de
certification
• A la réception de son certificat,
préparer le fichier à insérer dans la
6 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

configuration Merak
Ajouter le certificat dans la liste des certificats gérés dans le serveur Icewarp
Insérer le certificat dans la liste des
autorités – à faire une seule fois sur
chaque machine faisant tourner le
logiciel client*
Accéder aux services Icewarp (SMTP, POP, IMAP, http) en sécurisé

* Les éditeurs d'une suite de produits partagent le même repository pour la liste des autorités de
certification. Dans la méthode auto-signé, si on ajoute le certificat auto-signé dans un client, il est
automatiquement pris en compte par l'autre logiciel de la série :

• Microsoft Outlook et Microsoft Internet Explorer


• Mozilla Thunderbird et Mozilla Firefox
• Netscape Messenger et Netscape Navigator

Certificat auto signé

Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire
temporaire. ex: 'certificat').

L'entreprise va devenir sa propre autorité de certification, créer un certificat serveur et le signer.


Le certificat créé dans cette étape sera valable pour deux ans à partir de la date de création. Pour
choisir une autre durée, éditer le fichier self-signed.cmd en remplaçant le paramètre '730' de la ligne 4
par une valeur appropriée.

openssl\openssl x509 -in mail-server.csr -out mail-server.cert -req -signkey mail-


server.key -days 730

Ouvrir une fenêtre MS-DOS et exécuter les commandes suivantes:

cd <nom du répertoire 'certificat'>


self-signed.cmd

Un certain nombre d'informations seront demandées:


PEM password : donner un mot de passe
country name : code du pays (ex: FR pour la France)
State : état ou départment (ex: Yvelines)
Locality : la ville (ex: Le Chesnay)
Organization : nom de l'entreprise (ex: Darnis)
OU : indiquer ici un texte pour identifier le l'unité organisationnelle responsable du certificat
(ex: DSI ou DGSI ou siege)
CN : Le nom du domaine (ex: mail.domain.com)
email address : adresse de contact (ex: info@darnis.com)
challenge password : laisser à blanc
Optional Company name : laisser à blanc
PEM password à nouveau : donner le même mot de passe qu'à la première ligne

Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de
l’URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé
par https://mail.domain.com

La commande génère deux clés :


1. Le certificat serveur : cert.pem
2. Le certificat client : mail.server.der.crt
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 7

Le fichier cert.pem doit avoir le format suivant :

Certificat Commercial
Générer la demande de certificat à envoyer à l'autorité de certification

Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire
temporaire. ex: 'certificat').

Générer une demande de signature qui correspond au serveur:

cd <nom du répertoire 'certificat'>


request-ca.cmd
8 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Un certain nombre d'informations seront demandées:


PEM password : donner un mot de passe
country name : code du pays (ex: FR pour la France)
State : état ou départment (ex: Yvelines)
Locality : la ville (ex: Le Chesnay)
Organization : nom de l'entreprise (ex: Darnis)
OU : indiquer ici un texte pour identifier le l'unité organisationnelle responsable du certificat
(ex: DSI ou DGSI ou siege)
CN : Le nom du domaine (ex: mail.domain.com)
email address : adresse de contact (ex: info@darnis.com)
challenge password : laisser à blanc
Optional Company name : laisser à blanc
PEM password à nouveau : donner le même mot de passe qu'à la première ligne

Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de
la URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé
par https://mail.domain.com

La commande génère deux clés :


1. Le certificat serveur : cert.pem
2. Le certificat client : certificate_request.csr

Le fichier cert.pem (la clé privée) doit avoir le format suivant :


Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 9

Le fichier certificate_request.csr (demande à envoyer à l'autorité de certification) doit avoir le format


suivant :

Envoyer le fichier certificate_request.csr (ou son contenu) à l'autorité de certification.


Celle-ci va vérifier votre identité (il est important de renseigner les informations les plus précises lors
de l'exécution de la commande request-ca.cmd)
Après avoir vérifié le CSR, l'autorité de certification vous renvoie votre certificat qui correspond aux
informations transcrites dans le CSR. En particulier, le CN qui correspond à votre serveur de
messagerie.
Stocker le certificat reçu de la part de l'autorité dans un fichier 'signed-cert.pem'.

Le fichier signed-cert.pem (certificat signé par l'autorité) doit avoir le format suivant :
10 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Ouvrir ce fichier signed-cert.pem dans un éditeur de texte (Bloc-Notes, Notepad, PSPad, Notepad++)
– mais pas avec un logiciel de traitement de texte comme Word ou OpenOffice.

Copier le contenu du fichier 'cert.pem' (la clé privée générée par la commande request-ca.cmd) et
coller ce contenu en début du fichier 'signed-cert.pem' ouvert dans l'éditeur de texte.

Sauvegarder ce nouveau fichier sous le nom '<nom de l'autorité>.pem'.

Le fichier <nom de l'autorité>.pem doit avoir le format suivant :


Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 11

Insérer le certificat dans Icewarp Merak


• Aller sur la machine Icewarp Merak.
• Aller dans le répertoire "<répertoire d'installation de Merak>\config"
• Renommer le certificat de l’éditeur "cert.pem" en "cert.icewarp.pem"
• Copier le fichier "<nom de l'autorité>.pem" sous le nom "cert.pem" dans ce répertoire "config"
• Redémarrer tous les services du serveur Icewarp Merak.

Installer le certificat sur les postes clients


Cette étape n'est nécessaire que dans le cas des certificats auto-signés (ou des certificats en mode
'Trial' délivrés par les autorités de certification). En effet, tant que le signataire du certificat n'est pas
renseigné dans le logiciel client, celui-ci continuera à afficher les avertissements.

Aller dans un navigateur et accéder au webmail sécurisé: https://mail.domain.com:32001


12 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

On voit qu'un seul avertissement est maintenant présent. Le nom contenu dans le certificat
correspondant à la URL, le second avertissement n'est plus affiché.

Dans le cas présent, le détenteur du domaine a lui-même créé son certificat et il l'a signé. Les
navigateurs contiennent une liste d'autorités de confiance et il ne s'agit là que des organismes connus
et certifiés qui délivrent des certificats. Le créateur de son propre certificat ne se trouvera donc jamais
par défaut dans les paramètres des navigateurs.

Le seul moyen d'éliminer l'avertissement concernant la confiance à l'autorité de certification est


d'installer le certificat client dans le navigateur.

Il s'agit donc d'une séquence à exécuter sur chaque navigateur des postes qui vont utiliser le serveur
Icewarp en mode sécurisé – soit à partir d'un client de messagerie, soit à partir d'un client Webmail.

Sur une même machine, il faut répéter la procédure une fois pour Microsoft Internet Explorer, une fois
pour Mozilla Firefox, une fois pour Netscape Navigator… En revanche, la mise à jour de Microsoft
Internet Explorer est prise en compte par Microsoft Outlook, celle de Mozilla Firefox par Mozilla
Thunderbird…

Transmettre le certificat aux postes clients


Tout d'abord, on a besoin du certificat client généré dans l'étape précédente. Afin de fournir ce
certificat aux utilisateurs du service Webmail, nous allons utiliser une fonctionnalité du serveur Icewarp
Merak Mail Server.

Il s'agit de l'utilisation d'un compte du type 'catalogue'. Un compte catalogue peut contenir plusieurs
catalogues, chaque catalogue étant un seul fichier sur disque du serveur ou un répertoire sur le disque
du serveur.

En envoyant un mail formaté au compte catalogue, l'expéditeur du mail recevra en retour tous les
fichiers contenus dans le catalogue.

Définir le compte catalogue


Sur la console d'administration de Merak, créer un compte du type catalogue avec le paramétrage
suivant (ou similaire):
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 13

Le mail sera envoyé au nom indiqué par l'alias. Il est conseillé de protéger ce compte par un mot de
passe (Ce mot de passe doit être communiqué aux utilisateurs potentiels du Webmail).

Cocher la case "commande dans l'objet". Ainsi, un mail vide avec juste la commande dans l'objet du
mail fera le nécessaire (voir plus loin).

Ici, on propose d'accepter uniquement la commande GET (cad. un expéditeur va demander de


récupérer (GET) le contenu du catalogue).

Ensuite, on va créer un seul catalogue dans ce compte et un article dans ce catalogue (ici, le compte
s'appelle 'certificatweb', le catalogue s'appelle 'certificat' et le seul fichier du catalogue est le certificat
client généré précédemment).
14 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Communiquer la procédure aux utilisateurs


L'administrateur du serveur Icewarp Merak doit communiquer la procédure pour recevoir le certificat
client par mail aux utilisateurs et de l'installer.

1. A partir de la machine qui sera utilisée pour accéder au Webmail Icewarp Merak en mode
https, l'utilisateur rédige un mail suivant
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 15

Il peut même utiliser Icewarp Merak Webmail comme le client pour envoyer ce mail – il y accédera
(pour cette fois-ci) en ignorant l'avertissement affiché par le navigateur.

2. Immédiatement, il recevra dans sa boîte de réception un mail expédié par le compte catalogue
et contenant le certificat client comme en attachement:

3. Enregistrer le certificat en attachement


16 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Internet explorer
1. A la fin de l'enregistrement, ouvrir le certificat

2. Quand le certificat est affiché, cliquer sur 'Installer le certificat…'


Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 17

3. L’assistant d’installation de certificat démarre

4. Cliquer sur ‘Suivant >’. L’assistant demande la manière dont le certificat doit être installé.

5. Choisir ‘Sélectionner automatiquement…’ et cliquer sur ‘Suivant >’


18 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

6. Cliquer sur ‘Terminer’. Répondre 'Oui' dans la fenêtre de confirmation. L’installation est
terminée.

7. Fermer la fenêtre du certificat

8. Ouvrir une nouvelle session du navigateur, et entrer la URL d'accès au WebMail


(https://mail.domain.com:32001/webmail/). Cette fois-ci, sans aucune fenêtre
d’avertissement, l’utilisateur a accès à la page d’accueil de Web Mail. Les indications du
navigateur (cadenas+absence de couleur rouge dans IE) montrent qu'une connexion sécurisée
a été établie avec un site de confiance
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 19

9. Le certificat installé par l'assistant se trouve dans le magasin 'Autorités principales de


confiance' du navigateur Internet Explorer
20 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Mozilla FireFox

1. Lancer le navigateur et accéder au Webmail Icewarp

2. Cliquer sur 'Examiner le certificat'. On voit que les informations présentées sont tout à fait
correctes.

3. Cliquer sur le bouton radio 'Accepter définitivement ce certificat'


Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 21

4. Ouvrir une nouvelle session du navigateur. La page de login du Webmail Icewarp est affichée
sans aucun avertissement. A présence du cadenas assure l'établissement d'ue connexion
sécurisée avec le serveur Icewarp:

5. Le certificat est installé dans le magasin 'site web' du navigateur.


22 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9

Vérifier la prise en compte du certificat


Après avoir effectué toutes les étapes appropriées de ce document, à l'ouverture d'une session
sécurisée, on a directement l'affichage suivant (sans aucune page intermédiaire ni couleur modifiée
dans la barre des URL):
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 23

En cliquant sur l'icône du cadenas


On voit que c'est bien le certificat spécifique qui vient d'être installé qui est pris en compte:

Internet Explorer Mozilla Firefox

Une connexion à partir d'un client de messagerie se fait également sans aucune fenêtre de pop-up
d'avertissement.

Vous aimerez peut-être aussi