Etape 1 : La demande de certificat

La demande de certificat doit être faite avec Internet Explorer, c’est bien plus simple. Aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Si la barre d’information d’IE affiche Ce site Web souhaite exécuter le module complémentaire « Microsoft Certificate Enrollment Control »…, cliquer sur la barre, choisir Exécuter le module complémentaire, puis Exécuter. Valider de la même façon les éventuels messages de demande d’autorisation. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser les options par défaut. Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions, valider, et accepter les demandes d’autorisation.

Etape 2 : Installer le certificat

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Internet Explorer est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de IE. Accepter les demandes d’autorisation. Si Successful s’affiche sur la page le certificat est installé dans le magasin Windows.

Etape 3 : Sauvegarder le certificat

Cette étape n’est pas nécessaire pour l’utilisation du certificat mais elle est vivement recommandée pour pouvoir réinstaller le certificat en cas de problème.

Sous Internet Explorer aller dans Outils puis Options Internet et onglet Contenu. Cliquer sur le bouton Certificats, le certificat demandé doit apparaître dans l’onglet Personnel. Le selectionner et cliquer sur Exporter. Choisir d’exporter la clé privée, laisser les options par défaut, saisir un mot de passe robuste, choisir un nom de fichier et un emplacement et valider. Il est recommandé de stocker ce certificat en lieu sur.

Etape 4 : Associer le certificat au compte de messagerie

L’emplacement des options peut varier selon les versions d’Outlook. Pour Outlook 2007 aller dans Outils, puis Centre de gestion de la confidentialité, rubrique Sécurité de messagerie électronique.

Dans Courrier électronique chiffré cocher uniquement les cases Ajouter une signature numérique au message sortant et Envoyer le message signé en texte clair…. Cliquer sur le bouton Paramètres.

Dans Nom des paramètres de sécurité saisir l’adresse email. Cocher les 2 cases Paramètre de sécurité par défaut…. Cliquer sur le bouton Choisir à coté de Certificat de signature, et sélectionner le certificat, valider. Cocher la case Envoyer ces certificats avec le message signé, valider toutes les boites de dialogue.

C’est terminé, les messages envoyés seront tous signés avec le nouveau certificat numérique. Lors de la rédaction d’un message, 2 boutons permettent de gérer la signature et le chiffrement dans le groupe Options de l’onglet Message

Comodo [en]
TBS [fr]
Startcom [en]
Secorio [en]
TC TrustCenter [en]
CaCert [en]

Pour l’exemple de ce billet j’ai retenu Comodo car ce sont eux qui ont la procédure la plus simple: pas d’inscription préalable, demande minimale de renseignements, ça ne devrait décourager que les plus allergiques à l’anglais. Pour ceux là il y a TBS, qui d’ailleurs délivre des certificats Comodo mais ils sont plus inquisiteurs sur les renseignements personnels.

Etape 1 : La demande de certificat

Avec Firefox de préférence aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser « Haut Grade » pour l’option « Key size ». Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions et valider, c’est parti.

Etape 2 : Installer le certificat dans Firefox

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Firefox est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de Firefox.

Valider la boite de dialogue Votre certificat personnel a été installé en haussant les épaules, car c’est en grande partie faux. Certes le certificat a bien été installé dans Firefox, mais à quoi ça sert pour le mail? A rien. On continue.

Etape 3 : Sauvegarder le certificat

Toujours sous Firefox, aller dans Outils, puis Options, menu Avancé, onglet Chiffrement, cliquer sur le bouton Afficher les certificats, aller sur l’onglet Vos certificats. Cliquer sur le certificat nommé ID COMODO CA Limited puis sur le bouton Sauvegarder. Choisir un emplacement sur le disque et un nom de fichier, l’adresse email est un bon choix. Entrer ensuite un mot de passe de protection suffisamment robuste, personne n’aimerait qu’on utilise sa clé privée pour signer des messages…

Etape 4 : Importer le certificat dans Thunderbird

On commence à voir le bout du tunnel. Sous Thunderbird, aller dans Outils, puis Options, menu Avancé, onglet Certificats, cliquer sur le bouton Voir les certificats, puis sur le bouton Importer. Choisir le certificat sauvegardé, entrer le mot de passe, valider. Le certificat ID COMODO CA Limited doit apparaître dans l’onglet Vos certificats. Valider pour sortir du menu Options.

Etape 5 : Associer le certificat au compte de messagerie

Toujours sous Thunderbird, aller dans Outils, puis Paramètre des comptes. Pour l’adresse de messagerie concernée, sélectionner la rubrique Sécurité . Dans la zone Signature cliquer sur Sélectionner un certificat, choisir ID COMODO CA Limited, valider et accepter d’utiliser le même certificat pour le chiffrement.

On peut choisir de cocher la case Signer les messages numériquement, tous les messages seront signés par défaut et il y a peu d’effets indésirables.

Etape 6 : Mon premier message signé et chiffré!

Pour tester on s’envoie un message à soi-même en signant et chiffrant le message, menu Options ou bouton Sécurité. Le message reçu aura 2 jolies petites icônes dans la zone d’en-tête, une enveloppe cachetée pour la signature et un cadenas pour le chiffrement.

Les messages signés peuvent être envoyés à tout le monde, les messages chiffrés ne peuvent être envoyés qu’aux destinataires dont on a la clé publique, qu’on obtient en recevant un message signé ou chiffré.

Un certificat ssl avec passphrase (phrase de passe selon l’Académie Française) sous Apache, au premier abord ça semble bien pour la sécurité mais dans les faits c’est un très bon moyen d’avoir un serveur en rade sans savoir pourquoi: la passphrase est demandée à chaque redémarrage d’Apache, il faut donc une intervention humaine. Si Apache est redémarré par un script ou un reboot du serveur il restera à attendre cette fichue passphrase qui a peu de chance d’arriver comme ça…

La solution est de supprimer la passphrase de la clé privée, qu’on aura sauvegardée au préalable :

cp -a mondomaine.key mondomaine.key.sav
openssl rsa -in mondomaine.key.sav -out mondomaine.key
chmod 400 mondomaine.key

Lien

How can I get rid of the pass-phrase dialog at Apache startup time?

Ce memo me sert pour configurer WebDAV avec cryptage SSL sur un serveur Apache. J’utilise WebDAV pour offrir un accès fichiers aux webmasters des sites que j’héberge, c’est plus souple et plus sûr que le FTP. Cette config est très basique, Webdav permet un paramétrage très fin des autorisations, notamment avec la directive <Limit …>

Une des contraintes de Webdav est que le serveur Apache doit avoir les droits en lecture-écriture sur tous les répertoires et fichiers partagés. Il faut donc veiller à ce que le user sous lequel s’exécute Apache (www-data dans mon cas) en reste propriétaire. C’est pourquoi les concepteurs de Webdav recommandent de ne pas utiliser d’autre protocole pour accéder à ces fichiers. C’est à mon humble avis un peu excessif, mais il faut y faire attention, un upload fait par SSH ou FTP n’aura probablement pas les bons droits.

Requis

• Apache 2
• Openssl
• Un compte sur cacert.org

Installer les modules Apache

a2enmod ssl
a2enmod dav
a2enmod dav_fs
a2enmod dav_lock
a2enmod rewrite
/etc/init.d/apache2 force-reload

Générer le certificat SSL

Dans le répertoire /etc/ssl/private :

openssl req -nodes -new -keyout mondomaine.key -out mondomaine.csr

On peut passer toutes les questions sauf « Common Name (eg, YOUR name) », où il ne faut surtout pas mettre son nom mais le nom du domaine.

cat mondomaine.csr

Copier la sortie dans le presse-papier
Sur le site cacert.org aller sur Certificat de domaine / Nouveau
Demander un certificat de classe 3
Coller le csr
Récupérer le certificat dans le presse-papier et le coller dans /etc/ssl/private/mondomaine.crt

finir par :

chmod 600 mondomaine.*

Recopier le certificat racine CACert Classe 3 dans le magasin de certificats /etc/ssl/certs sous le nom cacert_class3.crt

Il est aussi possible d’utiliser un certificat autosigné, comme expliqué ici par exemple. L’avantage du certificat CACert est qu’il est issu d’une autorité certes non commerciale mais reconnue. Si le certificat racine de CACert n’est pas présent sur les postes clients on peut le télécharger ici

Configurer Apache

Attention, un seul serveur virtuel SSL par adresse IP!

Hors serveur virtuel, ajouter les directives :

NameVirtualHost *:80
NameVirtualHost *:443
DAVMinTimeout 600
DAVDepthInfinity On

Dès qu’on a mis en place le SSL, il faut que tous les serveurs virtuels soient assignés à un port, 80 pour http ou 443 pour https.

ex :

<VirtualHost *:80>
...
</VirtualHost>

Déclarer le serveur virtuel

On crée le fichier /etc/apache2/sites-availables/webdav :

<VirtualHost *:80>
ServerName mondomaine
# Force SSL
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]
</VirtualHost>
<VirtualHost *:443>
ServerName mondomaine
ServerAdmin webmaster@mondomaine
SSLEngine On
SSLCACertificateFile /etc/ssl/certs/cacert_class3.crt
SSLCertificateFile /etc/ssl/private/mondomaine.crt
SSLCertificateKeyFile /etc/ssl/private/mondomaine.key
DocumentRoot /var/www
<Directory />
Options -Indexes FollowSymLinks
AllowOverride none
</Directory>
<Directory /var/www/site1>
Options Indexes
AllowOverride none
Order allow,deny
allow from all
DAV on
AuthName "Administration site Site 1"
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
<Limit GET POST PROPFIND PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require user utilisateur1
</Limit>
</Directory>
<Directory /var/www/site2>
Options Indexes
AllowOverride none
Order allow,deny
allow from all
DAV on
AuthName "Administration site Site 2"
AuthType Basic
AuthUserFile /etc/apache2/htpasswd-webdav
<Limit GET POST PROPFIND PUT DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Require user utilisateur2
</Limit>
</Directory>
ErrorLog syslog
LogLevel warn
CustomLog /var/log/apache2/access_dav.log combined
</VirtualHost>

Créer la base utilisateurs

htpasswd -c /etc/apache2/htpasswd-webdav utilisateur1
New password:
Re-type new password:
Adding password for user utilisateur1
htpasswd /etc/apache2/htpasswd-webdav utilisateur2
New password:
Re-type new password:
Adding password for user utilisateur2

Donner les droits d’accès à Apache

chown www-data /etc/apache2/htpasswd-webdav
chmod 660 /etc/apache2/htpasswd-webdav

Configurer le firewall

Ouvrir le port TCP 443

Le moment de vérité!

on active le site :

a2ensite webdav
/etc/init.d/apache2 reload

S’il n’y a pas d’erreur il ne reste plus qu’a tester le partage avec un client Webdav : Dossiers Web sous Windows, le kio webdavs:// avec Konqueror (attention webdav:// ne fonctionne pas en SSL), le client intégré à Mac OS X, etc…

Liens

Le site officiel webdav

GnuPG est préinstallé sous Debian et Ubuntu ainsi qu’avec la majorité des distributions Linux je crois. Le projet Gpg4win fournit un programme d’installation pour Windows qui inclus GnuPG et différents modules complémentaires. Les commandes de gpg sont les mêmes dans les différents environnements. GnuPG est avant tout un logiciel de cryptage asymétrique (clé publique – clé privée) et son domaine de prédilection est la transmission sécurisée d’information entre utilisateurs. Mais on peut aussi s’en servir pour faire du cryptage simple, c’est ce qu’on va voir ici.

Le problème à résoudre est le suivant :

Un utilisateur gère sur son poste de travail des informations confidentielles. L’accès au poste de travail étant protégé, on estime la sécurité suffisante sur le poste (ça pourrait se discuter mais c’est pas le sujet). Par contre les sauvegardes sont effectuées sur un serveur dont l’accès est public. On ne peut donc pas y sauvegarder les données confidentielles en l’état.

La solution va être de crypter les données avant de les sauvegarder, voilà comment :

Génération d’un paire de clés :

gpg --gen-key
gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? 2048
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n>  = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? 0
Key does not expire at all
Is this correct? (y/N) y
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Michel
Email address: michel@martin.com
Comment:
You selected this USER-ID:
"Michel <michel@martin.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++++++++++++.+++++.+++++.+++++.+++++..+++++.+++++++++++++++++++++++++..++++++
+++>++++++++++>+++++>..+++++....................................................
.............................................+++++^^^
gpg: key 62757D49 marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
pub   1024D/62757D49 2007-11-12
Key fingerprint = 9B05 2259 683C 70CC D73C  3E47 816C 06FE 6275 7D49
uid                  Michel <michel@martin.com>
sub   2048g/5589D5F6 2007-11-12

Ca y est on a notre paire de clés. Attention à ne pas oublier la « passphrase », il n’y a aucun moyen de la récupérer. Elle n’est pas nécessaire pour crypter, mais sera demandée au décryptage. On peut mettre une passphrase vide, mais la sécurité est moindre.

L’étape suivante est de sauvegarder la clé privée, et la conserver en lieu sûr!!! :

gpg --export-secret-keys -a michel > michel.sec

Crypter le fichier confidentiel.doc :

gpg gpg -e -r Michel confidentiel.doc

Cette commande crée le fichier crypté confidentiel.doc.gpg qui peut être stocké sans crainte sur des serveurs publics, tant que la clé privée n’est pas compromise.

Pour décrypter sur le poste qui contient les clés (la passphrase est demandée) :

gpg confidentiel.doc.gpg

Pour décrypter sur un autre poste il faut d’abord importer la clé privée :

gpg --import michel.sec

Voilà, c’est juste un aperçu rapide d’une application pratique du cryptage avec gpg.