Comodo [en]
TBS [fr]
Startcom [en]
Secorio [en]
TC TrustCenter [en]
CaCert [en]

Pour l’exemple de ce billet j’ai retenu Comodo car ce sont eux qui ont la procédure la plus simple: pas d’inscription préalable, demande minimale de renseignements, ça ne devrait décourager que les plus allergiques à l’anglais. Pour ceux là il y a TBS, qui d’ailleurs délivre des certificats Comodo mais ils sont plus inquisiteurs sur les renseignements personnels.

Etape 1 : La demande de certificat

Avec Firefox de préférence aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser « Haut Grade » pour l’option « Key size ». Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions et valider, c’est parti.

Etape 2 : Installer le certificat dans Firefox

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Firefox est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de Firefox.

Valider la boite de dialogue Votre certificat personnel a été installé en haussant les épaules, car c’est en grande partie faux. Certes le certificat a bien été installé dans Firefox, mais à quoi ça sert pour le mail? A rien. On continue.

Etape 3 : Sauvegarder le certificat

Toujours sous Firefox, aller dans Outils, puis Options, menu Avancé, onglet Chiffrement, cliquer sur le bouton Afficher les certificats, aller sur l’onglet Vos certificats. Cliquer sur le certificat nommé ID COMODO CA Limited puis sur le bouton Sauvegarder. Choisir un emplacement sur le disque et un nom de fichier, l’adresse email est un bon choix. Entrer ensuite un mot de passe de protection suffisamment robuste, personne n’aimerait qu’on utilise sa clé privée pour signer des messages…

Etape 4 : Importer le certificat dans Thunderbird

On commence à voir le bout du tunnel. Sous Thunderbird, aller dans Outils, puis Options, menu Avancé, onglet Certificats, cliquer sur le bouton Voir les certificats, puis sur le bouton Importer. Choisir le certificat sauvegardé, entrer le mot de passe, valider. Le certificat ID COMODO CA Limited doit apparaître dans l’onglet Vos certificats. Valider pour sortir du menu Options.

Etape 5 : Associer le certificat au compte de messagerie

Toujours sous Thunderbird, aller dans Outils, puis Paramètre des comptes. Pour l’adresse de messagerie concernée, sélectionner la rubrique Sécurité . Dans la zone Signature cliquer sur Sélectionner un certificat, choisir ID COMODO CA Limited, valider et accepter d’utiliser le même certificat pour le chiffrement.

On peut choisir de cocher la case Signer les messages numériquement, tous les messages seront signés par défaut et il y a peu d’effets indésirables.

Etape 6 : Mon premier message signé et chiffré!

Pour tester on s’envoie un message à soi-même en signant et chiffrant le message, menu Options ou bouton Sécurité. Le message reçu aura 2 jolies petites icônes dans la zone d’en-tête, une enveloppe cachetée pour la signature et un cadenas pour le chiffrement.

Les messages signés peuvent être envoyés à tout le monde, les messages chiffrés ne peuvent être envoyés qu’aux destinataires dont on a la clé publique, qu’on obtient en recevant un message signé ou chiffré.

Après moult hésitations je me suis décidé à passer sous KDE4, mais je pense que j’aurais du continuer à hésiter encore un peu… Certes l’interface est bien jolie et paramétrable à souhait, la stabilité est correcte, mais il y a des lacunes énervantes sur des fonctions majeures, comme le SSL et les certificats. Il semble que KDE gère (mal) sa propre liste d’autorités de certification. CAcert par exemple n’est pas reconnu, alors qu’il se trouve dans le magasin global de certificats de la distribution.

On peut contourner le problème en utilisant le magasin global plutôt que celui de KDE avec la commande suivante :

sudo ln -sf /etc/ssl/certs/ca-certificates.crt /usr/share/kde4/apps/kssl/ca-bundle.crt

Il me reste à trouver comment utiliser mes certificats persos avec KMail, j’y retourne…

Liens:

https://bugs.kde.org/show_bug.cgi?id=162485

https://bugs.launchpad.net/kdelibs/+bug/295266

Ce memo me sert pour configurer WebDAV avec cryptage SSL sur un serveur Apache. J’utilise WebDAV pour offrir un accès fichiers aux webmasters des sites que j’héberge, c’est plus souple et plus sûr que le FTP. Cette config est très basique, Webdav permet un paramétrage très fin des autorisations, notamment avec la directive <Limit …>

Une des contraintes de Webdav est que le serveur Apache doit avoir les droits en lecture-écriture sur tous les répertoires et fichiers partagés. Il faut donc veiller à ce que le user sous lequel s’exécute Apache (www-data dans mon cas) en reste propriétaire. C’est pourquoi les concepteurs de Webdav recommandent de ne pas utiliser d’autre protocole pour accéder à ces fichiers. C’est à mon humble avis un peu excessif, mais il faut y faire attention, un upload fait par SSH ou FTP n’aura probablement pas les bons droits.

Requis

• Apache 2
• Openssl
• Un compte sur cacert.org

Installer les modules Apache

a2enmod ssl
a2enmod dav
a2enmod dav_fs
a2enmod dav_lock
a2enmod rewrite
/etc/init.d/apache2 force-reload

Générer le certificat SSL

Dans le répertoire /etc/ssl/private :

openssl req -nodes -new -keyout mondomaine.key -out mondomaine.csr

On peut passer toutes les questions sauf « Common Name (eg, YOUR name) », où il ne faut surtout pas mettre son nom mais le nom du domaine.

cat mondomaine.csr

Copier la sortie dans le presse-papier
Sur le site cacert.org aller sur Certificat de domaine / Nouveau
Demander un certificat de classe 3
Coller le csr
Récupérer le certificat dans le presse-papier et le coller dans /etc/ssl/private/mondomaine.crt

finir par :

chmod 600 mondomaine.*

Recopier le certificat racine CACert Classe 3 dans le magasin de certificats /etc/ssl/certs sous le nom cacert_class3.crt

Il est aussi possible d’utiliser un certificat autosigné, comme expliqué ici par exemple. L’avantage du certificat CACert est qu’il est issu d’une autorité certes non commerciale mais reconnue. Si le certificat racine de CACert n’est pas présent sur les postes clients on peut le télécharger ici

Configurer Apache

Attention, un seul serveur virtuel SSL par adresse IP!

Hors serveur virtuel, ajouter les directives :

NameVirtualHost *:80
NameVirtualHost *:443
DAVMinTimeout 600
DAVDepthInfinity On

Dès qu’on a mis en place le SSL, il faut que tous les serveurs virtuels soient assignés à un port, 80 pour http ou 443 pour https.

ex :

<VirtualHost *:80>
...
</VirtualHost>

Déclarer le serveur virtuel

On crée le fichier /etc/apache2/sites-availables/webdav :

<VirtualHost *:80>
ServerName mondomaine
# Force SSL
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]
</VirtualHost>
<VirtualHost *:443>
ServerName mondomaine
ServerAdmin webmaster@mondomaine
SSLEngine On
SSLCACertificateFile /etc/ssl/certs/cacert_class3.crt
SSLCertificateFile /etc/ssl/private/mondomaine.crt
SSLCertificateKeyFile /etc/ssl/private/mondomaine.key
DocumentRoot /var/www
<Directory />
Options -Indexes FollowSymLinks
AllowOverride none
</Directory>
<Directory /var/www/site1>
Options Indexes
AllowOverride none
Order allow,deny
allow from all
DAV on
AuthName "Administration site Site 1"
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
<Limit GET POST PROPFIND PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require user utilisateur1
</Limit>
</Directory>
<Directory /var/www/site2>
Options Indexes
AllowOverride none
Order allow,deny
allow from all
DAV on
AuthName "Administration site Site 2"
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
<Limit GET POST PROPFIND PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require user utilisateur2
</Limit>
</Directory>
ErrorLog syslog
LogLevel warn
CustomLog /var/log/apache2/access_dav.log combined
</VirtualHost>

Créer la base utilisateurs

htpasswd -c /etc/apache2/htpasswd-webdav utilisateur1
New password:
Re-type new password:
Adding password for user utilisateur1
htpasswd /etc/apache2/htpasswd-webdav utilisateur2
New password:
Re-type new password:
Adding password for user utilisateur2

Donner les droits d’accès à Apache

chown www-data /etc/apache2/htpasswd-webdav
chmod 660 /etc/apache2/htpasswd-webdav

Configurer le firewall

Ouvrir le port TCP 443

Le moment de vérité!

on active le site :

a2ensite webdav
/etc/init.d/apache2 reload

S’il n’y a pas d’erreur il ne reste plus qu’a tester le partage avec un client Webdav : Dossiers Web sous Windows, le kio webdavs:// avec Konqueror (attention webdav:// ne fonctionne pas en SSL), le client intégré à Mac OS X, etc…

Liens

Le site officiel webdav