Sécurisation SSL : Certificat CAcert avec Dovecot et Thunderbird en IMAPs
Après avoir créé un certificat signé par l’autorité CAcert, je dois configurer mon serveur Dovecot pour utiliser ces clés et mon client mail Thunderbird pour accepter CAcert comme autorité de certification.
Dans mon cas, j’ai généré un certificat SSL CAcert multi-sites pour l’utiliser dans mon serveur mails. Mes mails sont en IMAPs et j’utilise DOVECOT.
J’ai donné des noms plus cohérents pour mes certificats :
- Misson_imap_server.pem pour le certificat serveur qui vient de CAcert
- Misson_imap_privatekey.pem pour la clé privée qui doit rester secrète
Je les transferts donc vers mon serveur distant :
scp Misson_imap_server.pem didier@monserveurmail:/home/didier
scp Misson_imap_privatekey.pem didier@monserveurmail:/home/didier
Adaptez évidemment les noms des clés, et le nom ou IP adresse du serveur.
Sur le serveur, au quel j’accède en SSH, je place les 2 clés dans les bons dossiers en étant en root, ou avec “sudo” suivant votre serveur :
mv /home/didier/Misson_imap_server.pem /etc/ssl/certs/ mv /home/didier/Misson_imap_privatekey.pem /etc/ssl/private/
Changez les permissons et le owner sur les 2 clés. J’autorise Dovecot à y accéder.
cd /etc/ssl/certs/ chmod u-w Misson_imap_server.pem chown root:dovecot Misson_imap_server.pem cd /etc/ssl/private/ chmod u-w Misson_imap_privatekey.pem chown root:dovecot Misson_imap_privatekey.pem
Il faut maintenant indiquer à Dovecot qu’il doit utiliser ces certificats CAcert :
vi /etc/dovecot/dovecot.conf
Dans mon cas, seul IMAPS est autorisé depuis le Net, IMAP en local pour la communication entre Dovecot et SquirrelMail. J’ai bloqué le POP3.
base_dir = /var/run/dovecot/
protocols = imap imaps
protocol imap {
listen = 127.0.0.1:143
ssl_listen = *:993
}
# protocol pop3 {
# # listen = *:110
# # ssl_listen = *:995
# # }
### mettre "no" pour le ssl_disable
### ssl_cert est le certificat serveur de CAcert
### ssl_key est le certificat privé
ssl_disable = no ssl_cert_file = /etc/ssl/certs/Misson_imap_server.pem ssl_key_file = /etc/ssl/private/Misson_imap_privatekey.pem
Il reste à configurer votre client mails.
Attention, il faut d’abord qu’il reconnaisse l’autorité CAcert, sinon il vous donnera un message d’alerte !
La documentation suivante du site CAcert explique comment ajouter les 2 certificats de classe 1 et 3 à Thunderbird, pour qu’il reconnaisse comme valide l’autorité CAcet.
Allez sur la page des certificats racines de CAcert : http://www.cacert.org/index.php?id=3
Sauvez les deux “Root Certificate” de classe 1 et de classe 3 au format PEM sur votre disque dur. Attention, vous devez le faire en cliquant avec la touche de droite de votre souris, et ensuite “enregistrer sous”, sinon c’est Firefox (ou autre) qui essayera de les inclure et pas Thunderbird.
Démarrez Thunderbird et allez dans le menu “Edition” / “Préférences”. Dans le menu “Avancé” cliquez sur l’onglet “Certificats”.
Là, cliquer sur “Voir les certificats”, puis sur l’onglet “Autorités” :
Importez maintenant les 2 certificats que vous aviez sauvé :
Sélectionnez les 3 cases et cliquez OK.
Faites de même pour le certificat racine de classe 3 :
Vous devriez maintenant avoir CAcert dans la liste des autorités de certification que reconnaît Thunderbird.
La prochaine fois que vous démarrerez Thunderbird, il ne devrait plus vous donner de messages d’alerte disant que votre certificat est auto-signé ou qu’il ne connait pas CAcert comme autorité.
De mon côté, cela fonctionne parfaitement maintenant. 