1 IceWarp Merak Mail Server Installation et utilisation d'un certificat Icewarp France octobre 2007
2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Sommaire Introduction...3 Situation initiale...4 Client de Messagerie...4 Client Webmail...4 Générer un certificat...5 Certificat auto signé...6 Certificat Commercial...7 Générer la demande de certificat à envoyer à l'autorité de certification...7 Insérer le certificat dans Icewarp Merak...11 Installer le certificat sur les postes clients...11 Transmettre le certificat aux postes clients...12 Définir le compte catalogue...12 Communiquer la procédure aux utilisateurs...14 Vérifier la prise en compte du certificat...22
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 3 Introduction La suite Icewarp Merak supporte tous les protocoles de messagerie en mode normal et en mode sécurisé (SSL). Ainsi, le serveur Icewarp peut être contacté avec les protocoles SMTP(s), POP(s), IMAP(s) et HTTP(s). Pour des raisons de sécurité, il est conseillé de ne permettre que l'accès sécurisé quand la connexion vient d'une machine extérieure au réseau de l'entreprise (le cas se présente souvent avec le cleint Webmail). L'administrateur peut bien sûr également exiger une connexion sécurisée même pour des connexions venant du réseau local. Lors d une connexion en mode SSL, un échange de certificat a lieu qui permet au client de vérifier l'identité du serveur. La suite Icewarp s'installe avec un certificat serveur par défaut qui est signé par l'éditeur. Par définition, ce certificat étant générique, il ne correspond jamais au nom spécifique d une installation. De plus, l'éditeur Icewarp n'étant pas une autorité de certification, ne figure pas dans la liste des autorités préconfigurées dans les logiciels couramment utilisés tels Internet Explorer, Outlook, Outlook Express, Mozilla Firefox, Mozilla Thunderbird, Netscape browser, Netscape Messenger Pour cette raison, même si la connexion en mode SSL entre le client (soit un client de messagerie, soit un navigateur) fonctionne "out of the box", le client affiche des avertissements pour indiquer que le certificat reçu de la part du serveur n'a pas passé tous les contrôles. Ce document explique comment générer et installer son propre certificat pour ne plus avoir des avertissements lors des connexions en mode SSL. Il traite deux types de clients : clients de messagerie et client Webmail Clients de messagerie : N'importe lequel client de messagerie conforme à la norme RFC 822 peut être utilisé pour envoyer/recevoir ses mails. A l'installation, les services Merak écoutent sur les ports standards* : Standard Sécurisé SMTP 25 465 POP 110 995 IMAP 143 993 *Il n'est pas conseillé de modifier ces valeurs par défaut. Client Webmail : L'application Webmail tourne avec un serveur Web intégré au produit. Cette application peut être accédée sur le port http ou sur le port https. Par défaut, le port http est le port 32000 et le port https est le port 32001. L'administrateur du serveur peut changer ces deux valeurs. Dans la suite, le nom utilisé est mail.domain.com c'est le nom DNS de la machine où le logiciel Icewarp est installé. Il est généralement la valeur du paramètre "Serveur:" du menu Serveur de Messagerie -> Service SMTP -> l'onglet "Général". Il faut le remplacer par le nom approprié.
4 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Situation initiale Client de Messagerie Quand un compte configuré sur client de messagerie (ici Outlook), contacte le serveur Icewarp (mail.domain.com) en mode SSL, la fenêtre suivante apparaît : Le premier message indique que le certificat renvoyé par le serveur contacté en mode POP(s)/IMAP(s) ne fait pas partie des autorités de confiance. Le second message indique que ce certificat est délivré pour une adresse autre que mail.domain.com. Client Webmail En accédant le Webmail du serveur Icewarp Merak (https://mail.domain.com:32001/webmail ), le navigateur affiche un avertissement. Ex: sur Internet explorer, Le premier message indique que le certificat renvoyé par le serveur qui répond à l'adresse https://mail.domain.com ne fait pas partie des autorités de confiance. Le second message indique que ce certificat est délivré pour une adresse autre que https://mail.domain.com.
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 5 ou sur Mozilla: A l'installation du produit Icewarp Merak Mail Server, un certificat (fichier cert.pem) est installé par défaut dans "<répertoire d'installation de Merak>\config". Ce fichier correspond à un certificat signé par l'éditeur (IceWarp). Comme l'éditeur Icewarp ne fait pas partie des autorités de confiance reconnues par les clients de messagerie et les navigateurs et puisque le nom du certificat ne correspond pas au site accédé (ici, mail.domain.com), ces avertissements sont affichés. Générer un certificat Il y a deux possibilités de générer et signer un certificat: Créer le certificat avec des outils 'open' : openssl et le signer (on parle d'un certificat autosigné) Acheter un certificat à son nom auprès d'une autorité de certification (Verisign, Thawte, Comodo ) Dans les deux cas, on va générer le certificat pour correspondre au nom du serveur mail. En revanche, dans le premier cas, il y aura besoin de faire une étape supplémentaire d'installation du certificat sur chaque poste car un certificat auto-signé ne fera jamais partie de la distribution standard des logiciels clients (clients de messagerie et navigateurs). La différence dans la procédure est indiquée dans le tableau suivant Auto-signé Commercial Générer le certificat et le signer Générer une demande de signature (CSR, Certificate Signing Request) ainsi que la clé privée Envoyer la demande à une autorité de certification A la réception de son certificat, préparer le fichier à insérer dans la
6 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 configuration Merak Ajouter le certificat dans la liste des certificats gérés dans le serveur Icewarp Insérer le certificat dans la liste des autorités à faire une seule fois sur chaque machine faisant tourner le logiciel client* Accéder aux services Icewarp (SMTP, POP, IMAP, http) en sécurisé * Les éditeurs d'une suite de produits partagent le même repository pour la liste des autorités de certification. Dans la méthode auto-signé, si on ajoute le certificat auto-signé dans un client, il est automatiquement pris en compte par l'autre logiciel de la série : Microsoft Outlook et Microsoft Internet Explorer Mozilla Thunderbird et Mozilla Firefox Netscape Messenger et Netscape Navigator Certificat auto signé Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire temporaire. ex: 'certificat'). L'entreprise va devenir sa propre autorité de certification, créer un certificat serveur et le signer. Le certificat créé dans cette étape sera valable pour deux ans à partir de la date de création. Pour choisir une autre durée, éditer le fichier self-signed.cmd en remplaçant le paramètre '730' de la ligne 4 par une valeur appropriée. openssl\openssl x509 -in mail-server.csr -out mail-server.cert -req -signkey mailserver.key -days 730 Ouvrir une fenêtre MS-DOS et exécuter les commandes suivantes: cd <nom du répertoire 'certificat'> self-signed.cmd Un certain nombre d'informations seront demandées: PEM password : donner un mot de passe country name : code du pays (ex: FR pour la France) State : état ou départment (ex: Yvelines) Locality : la ville (ex: Le Chesnay) Organization : nom de l'entreprise (ex: Darnis) OU : indiquer ici un texte pour identifier le l'unité organisationnelle responsable du certificat (ex: DSI ou DGSI ou siege) CN : Le nom du domaine (ex: mail.domain.com) email address : adresse de contact (ex: info@darnis.com) challenge password : laisser à blanc Optional Company name : laisser à blanc PEM password à nouveau : donner le même mot de passe qu'à la première ligne Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de l URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé par https://mail.domain.com La commande génère deux clés : 1. Le certificat serveur : cert.pem 2. Le certificat client : mail.server.der.crt
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 7 Le fichier cert.pem doit avoir le format suivant : Certificat Commercial Générer la demande de certificat à envoyer à l'autorité de certification Avant de commencer la procédure, vous devez copier le contenu du zip attaché dans un répertoire temporaire. ex: 'certificat'). Générer une demande de signature qui correspond au serveur: cd <nom du répertoire 'certificat'> request-ca.cmd
8 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Un certain nombre d'informations seront demandées: PEM password : donner un mot de passe country name : code du pays (ex: FR pour la France) State : état ou départment (ex: Yvelines) Locality : la ville (ex: Le Chesnay) Organization : nom de l'entreprise (ex: Darnis) OU : indiquer ici un texte pour identifier le l'unité organisationnelle responsable du certificat (ex: DSI ou DGSI ou siege) CN : Le nom du domaine (ex: mail.domain.com) email address : adresse de contact (ex: info@darnis.com) challenge password : laisser à blanc Optional Company name : laisser à blanc PEM password à nouveau : donner le même mot de passe qu'à la première ligne Imp : Ici, le CN doit être le nom du serveur messagerie. (cad le nom qui fera partie de la URL utilisée pour accéder au Webmail; ex: mail.domain.com si le webmail est accédé par https://mail.domain.com La commande génère deux clés : 1. Le certificat serveur : cert.pem 2. Le certificat client : certificate_request.csr Le fichier cert.pem (la clé privée) doit avoir le format suivant :
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 9 Le fichier certificate_request.csr (demande à envoyer à l'autorité de certification) doit avoir le format suivant : Envoyer le fichier certificate_request.csr (ou son contenu) à l'autorité de certification. Celle-ci va vérifier votre identité (il est important de renseigner les informations les plus précises lors de l'exécution de la commande request-ca.cmd) Après avoir vérifié le CSR, l'autorité de certification vous renvoie votre certificat qui correspond aux informations transcrites dans le CSR. En particulier, le CN qui correspond à votre serveur de messagerie. Stocker le certificat reçu de la part de l'autorité dans un fichier 'signed-cert.pem'. Le fichier signed-cert.pem (certificat signé par l'autorité) doit avoir le format suivant :
10 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Ouvrir ce fichier signed-cert.pem dans un éditeur de texte (Bloc-Notes, Notepad, PSPad, Notepad++) mais pas avec un logiciel de traitement de texte comme Word ou OpenOffice. Copier le contenu du fichier 'cert.pem' (la clé privée générée par la commande request-ca.cmd) et coller ce contenu en début du fichier 'signed-cert.pem' ouvert dans l'éditeur de texte. Sauvegarder ce nouveau fichier sous le nom '<nom de l'autorité>.pem'. Le fichier <nom de l'autorité>.pem doit avoir le format suivant :
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 11 Insérer le certificat dans Icewarp Merak Aller sur la machine Icewarp Merak. Aller dans le répertoire "<répertoire d'installation de Merak>\config" Renommer le certificat de l éditeur "cert.pem" en "cert.icewarp.pem" Copier le fichier "<nom de l'autorité>.pem" sous le nom "cert.pem" dans ce répertoire "config" Redémarrer tous les services du serveur Icewarp Merak. Installer le certificat sur les postes clients Cette étape n'est nécessaire que dans le cas des certificats auto-signés (ou des certificats en mode 'Trial' délivrés par les autorités de certification). En effet, tant que le signataire du certificat n'est pas renseigné dans le logiciel client, celui-ci continuera à afficher les avertissements. Aller dans un navigateur et accéder au webmail sécurisé: https://mail.domain.com:32001
12 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 On voit qu'un seul avertissement est maintenant présent. Le nom contenu dans le certificat correspondant à la URL, le second avertissement n'est plus affiché. Dans le cas présent, le détenteur du domaine a lui-même créé son certificat et il l'a signé. Les navigateurs contiennent une liste d'autorités de confiance et il ne s'agit là que des organismes connus et certifiés qui délivrent des certificats. Le créateur de son propre certificat ne se trouvera donc jamais par défaut dans les paramètres des navigateurs. Le seul moyen d'éliminer l'avertissement concernant la confiance à l'autorité de certification est d'installer le certificat client dans le navigateur. Il s'agit donc d'une séquence à exécuter sur chaque navigateur des postes qui vont utiliser le serveur Icewarp en mode sécurisé soit à partir d'un client de messagerie, soit à partir d'un client Webmail. Sur une même machine, il faut répéter la procédure une fois pour Microsoft Internet Explorer, une fois pour Mozilla Firefox, une fois pour Netscape Navigator En revanche, la mise à jour de Microsoft Internet Explorer est prise en compte par Microsoft Outlook, celle de Mozilla Firefox par Mozilla Thunderbird Transmettre le certificat aux postes clients Tout d'abord, on a besoin du certificat client généré dans l'étape précédente. Afin de fournir ce certificat aux utilisateurs du service Webmail, nous allons utiliser une fonctionnalité du serveur Icewarp Merak Mail Server. Il s'agit de l'utilisation d'un compte du type 'catalogue'. Un compte catalogue peut contenir plusieurs catalogues, chaque catalogue étant un seul fichier sur disque du serveur ou un répertoire sur le disque du serveur. En envoyant un mail formaté au compte catalogue, l'expéditeur du mail recevra en retour tous les fichiers contenus dans le catalogue. Définir le compte catalogue Sur la console d'administration de Merak, créer un compte du type catalogue avec le paramétrage suivant (ou similaire):
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 13 Le mail sera envoyé au nom indiqué par l'alias. Il est conseillé de protéger ce compte par un mot de passe (Ce mot de passe doit être communiqué aux utilisateurs potentiels du Webmail). Cocher la case "commande dans l'objet". Ainsi, un mail vide avec juste la commande dans l'objet du mail fera le nécessaire (voir plus loin). Ici, on propose d'accepter uniquement la commande GET (cad. un expéditeur va demander de récupérer (GET) le contenu du catalogue). Ensuite, on va créer un seul catalogue dans ce compte et un article dans ce catalogue (ici, le compte s'appelle 'certificatweb', le catalogue s'appelle 'certificat' et le seul fichier du catalogue est le certificat client généré précédemment).
14 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Communiquer la procédure aux utilisateurs L'administrateur du serveur Icewarp Merak doit communiquer la procédure pour recevoir le certificat client par mail aux utilisateurs et de l'installer. 1. A partir de la machine qui sera utilisée pour accéder au Webmail Icewarp Merak en mode https, l'utilisateur rédige un mail suivant
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 15 Il peut même utiliser Icewarp Merak Webmail comme le client pour envoyer ce mail il y accédera (pour cette fois-ci) en ignorant l'avertissement affiché par le navigateur. 2. Immédiatement, il recevra dans sa boîte de réception un mail expédié par le compte catalogue et contenant le certificat client comme en attachement: 3. Enregistrer le certificat en attachement
16 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Internet explorer 1. A la fin de l'enregistrement, ouvrir le certificat 2. Quand le certificat est affiché, cliquer sur 'Installer le certificat '
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 17 3. L assistant d installation de certificat démarre 4. Cliquer sur Suivant >. L assistant demande la manière dont le certificat doit être installé. 5. Choisir Sélectionner automatiquement et cliquer sur Suivant >
18 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 6. Cliquer sur Terminer. Répondre 'Oui' dans la fenêtre de confirmation. L installation est terminée. 7. Fermer la fenêtre du certificat 8. Ouvrir une nouvelle session du navigateur, et entrer la URL d'accès au WebMail (https://mail.domain.com:32001/webmail/). Cette fois-ci, sans aucune fenêtre d avertissement, l utilisateur a accès à la page d accueil de Web Mail. Les indications du navigateur (cadenas+absence de couleur rouge dans IE) montrent qu'une connexion sécurisée a été établie avec un site de confiance
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 19 9. Le certificat installé par l'assistant se trouve dans le magasin 'Autorités principales de confiance' du navigateur Internet Explorer
20 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Mozilla FireFox 1. Lancer le navigateur et accéder au Webmail Icewarp 2. Cliquer sur 'Examiner le certificat'. On voit que les informations présentées sont tout à fait correctes. 3. Cliquer sur le bouton radio 'Accepter définitivement ce certificat'
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 21 4. Ouvrir une nouvelle session du navigateur. La page de login du Webmail Icewarp est affichée sans aucun avertissement. A présence du cadenas assure l'établissement d'ue connexion sécurisée avec le serveur Icewarp: 5. Le certificat est installé dans le magasin 'site web' du navigateur.
22 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Vérifier la prise en compte du certificat Après avoir effectué toutes les étapes appropriées de ce document, à l'ouverture d'une session sécurisée, on a directement l'affichage suivant (sans aucune page intermédiaire ni couleur modifiée dans la barre des URL):
Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 23 En cliquant sur l'icône du cadenas On voit que c'est bien le certificat spécifique qui vient d'être installé qui est pris en compte: Internet Explorer Mozilla Firefox Une connexion à partir d'un client de messagerie se fait également sans aucune fenêtre de pop-up d'avertissement.