Guide pratique des certificats SSL: Version française du SSL Certificates HOWTO | ||
---|---|---|
Précédent | Chapitre 3. Emploi des certificats avec les applications | Suivant |
Il faut simplement générer et signer une demande de certificat avec l'adresse électronique en guise de nom d'usage (CN).
On peut alors signer un message de test test.txt avec le nouveau certificat newcert.pem et la clef newreq.pem :
openssl smime -sign -in test.txt -text -out test.msg -signer newcert.pem -inkey newreq.pem |
test.msg peut être transmis à n'importe qui et cette procédure s'applique pour émettre des notes signées ou tout autre document signé destiné à être publié électroniquement.
Il faut l'importer dans Outlook sous forme de fichier pkcs12. La création du fichier pkcs12 s'effectue comme suit :
CA.pl -pkcs12 "Franck Martin" (openssl pkcs12 -export -in newcert.pem -inkey newreq.pem \ -out newcert.p12 -name "Franck Martin") |
Il est possible de lier le certificat de signature au fichier pkcs12 :
openssl pkcs12 -export -in newcert.pem -inkey newreq.pem \ -certfile cacert.pem -out newcert.p12 -name "Franck Martin" |
Ce certificat contient les clefs privées et publique. Seul le mot de passe protège cette dernière. Le fichier ne doit donc pas traîner n'importe où.
On suit les menus Tools, Options et Security de MS Outlook. Un clic sur le bouton import/export active l'import du fichier pkcs12. Il n'y a plus qu'à renseigner le mot de passe d'export et l'identité de l'utilisateur, "Franck Martin" dans mon cas (à adapter).
On clique ensuite sur le bouton Settings puis, MS Outlook ayant normalement sélectionné les choix par défaut, sur New. Il est alors possible d'envoyer des courriers électroniques signés. La clef publique est transmise en même temps que les messages signés et le destinataire est donc en mesure de renvoyer des données chiffrées.
Comme le certificat a été généré à partir d'un certificat auto-signé, le chemin de validation ne sera pas valide tant que l'application ne connaît pas le certificat de l'AC racine. On se reportera à la section d'installation du certificat de l'AC racine dans Internet Explorer pour la détail de la marche à suivre.
Le message est envoyé signé/chiffré ou simplement signé en clair. Le chiffrement n'en est pas vraiment un dans la mesure où le message contient tout le nécessaire pour effectuer le déchiffrement.
Certaines anciennes versions de MS Outlook pour XP parcourent Internet pour vérifier la validité du certificat. Plusieurs secondes peuvent alors s'écouler avant que le courrier ne soit affiché, voire plusieurs minutes pour que le hors-temps de MS Outlook ne se déclenche si on n'est pas connecté en permanence. Ce processus bloque toute la machine jusqu'à ce que MS Outlook l'ait achevé d'une façon ou d'une autre.
Evolution 1.0 ne gère pas S/MIME mais seulement PGP. La prise en charge S/MIME est prévue pour une version ultérieure (d'après la base de données de suivi des bogues d'Evolution). Evolution remarque quand même parfois que le document est signé en clair et l'affiche correctement bien qu'il ne puisse en vérifier la validité. Des versions antérieures d'Evolution n'assimilaient pas un des trois types MIME de signature que MS Outlook emploie hélas assez souvent.
COMPLÉTEZ-MOI
COMPLÉTEZ-MOI
Précédent | Sommaire | Suivant |
Sécurisation des protocoles Internet | Niveau supérieur | Protection des fichiers |