|
Création et utilisation de certificats SSL |
Faire défiler Précédente Haut de page Suivante Plus |
Lorsque vous utilisez la boîte de dialogue SSL & TLS pour créer des certificats, MDaemon génère des certificats auto-signés. Dans ce cas, l'émetteur du certificat, ou Autorité de Certification (AC), est le même que le propriétaire du certificat. Ceci est parfaitement valide et autorisé, mais comme l'autorité de certification ne figure pas dans la liste des autorités de certification de confiance de vosutilisateurs, chaque fois qu'ils se connectent à l'URL HTTPS de Webmail ou de MDaemon Remote Admin, il leur est demandé s'ils souhaitent ou non se rendre sur le site et/ou installer le certificat. Une fois qu'ils auront accepté d'installer le certificat et qu'ils auront fait confiance audomaine devotre Webmailen tant qu'autorité de certification valide, ils ne verront plus le message d'alerte de sécurité lorsqu'ils se connecteront à Webmail ou à MDaemon Remote Admin.
En revanche, lorsqu'ils se connectent à MDaemon via un client de messagerie tel que Microsoft Outlook, ils n'ont pas la possibilité d'installer le certificat. Ils pourront choisir de continuer à utiliser le certificat temporairement, même s'il n'est pas validé. Chaque fois qu'ils démarreront leur client de messagerie et se connecteront au serveur, ils devront choisir de continuer à utiliser le certificat non validé. Pour éviter cela, vous pouvez soit obtenir un certificat auprès d'une autorité de certification, telle que Let's EncryptLet', ou exporter votre certificat auto-signé et le distribuer à vos utilisateurs par courrier électronique ou par un autre moyen. Ils pourront alors installer manuellement votre certificat et s'y fier afin d'éviter les messages d'alerte à venir.
Création d'un certificat
Pour créer un certificat à partir de MDaemon :
1.Ouvrez la boîte de dialogue SSL & TLS dans MDaemon (cliquez sur Sécurité " Paramètres de sécurité " SSL & TLS " MDaemon).
2.Cochez la case Activer SSL, STARTTLS et STLS.
3.Cliquez sur Créer un certificat.
4.Dans la zone de texte intitulée Nom d'hôte, entrez le domaine auquel le certificat appartient (par Exemple, "mail.example.com").
5.Dans la zone de texte intitulée "Nom de l'organisation/entreprise", saisissez le nom de l'organisation ou de la société propriétaire du certificat.
6.Dans "Alternative host names...", tapez tous les autres noms de domaine que vos utilisateurs utiliseront pour accéder à votre serveur (par exemple, "*.example.com", "example.com", "mail.altn.com", et ainsi de suite).
7.Choisissez une longueur de clé de cryptage dans la liste déroulante.
8.Choisissez le Pays/région où réside votre serveur.
9.Cliquez sur OK.
Utilisation de certificats émis par une autorité de certification tierce
Si vous avez acheté ou généré un certificat à partir d'une source autre que MDaemon, vous pouvez toujours utiliser ce certificat en utilisant la console de gestion Microsoft pour l'importer dans le magasin de certificats utilisé par MDaemon. Pour ce faire, sous Windows XP, procédez comme suit
| 1. | Dans la barre d'outils de Windows, cliquez sur De.... et tapez "mmc /a" dans la zone de texte. |
| 2. | Cliquez sur OK. |
| 3. | Dans la Microsoft Management Console, cliquez sur File " Add/Remove Snap-in... dans la barre de menu (ou appuyez sur Ctrl+M sur votre clavier). |
| 4. | Dans l'onglet Standalone, cliquez sur Add... (Ajouter). |
| 5. | Dans la boîte de dialogue Ajouter un Snap-in autonome, cliquez sur Certificats, puis sur Ajouter. |
| 6. | Dans la boîte de dialogue Snap-in Certificats, choisissez Compte de l'ordinateur, puis cliquez sur Suivant. |
| 7. | Dans la boîte de dialogue Sélectionner un ordinateur, choisissez Ordinateur local, puis cliquez sur Terminer. |
| 8. | Cliquez sur Fermer, puis sur OK. |
| 9. | Dans le volet de gauche, sous Certificats (ordinateur local), si le certificat que vous importez est auto-signé, cliquez sur Autorités de certification racine de confiance, puis sur Certificats. Si le certificat n'est pas auto-signé, cliquez sur Personal. |
| 10. | Dans la barre de menus, cliquez sur Action " Toutes les tâches " Importer..., puis sur Suivant. |
| 11. | Saisissez le chemin d'accès au fichier du certificat que vous souhaitez importer (en utilisant le bouton Parcourir si nécessaire), puis cliquez sur Suivant. |
| 12. | Cliquez sur Suivant, puis sur Terminer. |
|
12 AM n'affiche que les certificats dont les clés privées utilisent le format d'échange d'informations personnelles (PKCS #12). Si votre certificat importé n'apparaît pas dans la liste, il se peut que vous deviez importer un fichier*.PEM, qui contient à la fois une clé de certificat et une clé privée. L'importation de ce fichier en suivant la même procédure que celle décrite ci-dessus le convertira au format PKCS #12. |
Utiliser Let's Encrypt pour gérer votre certificat
Let's Encrypt est une autorité de certification (AC) qui fournit des certificats gratuits via un processus automatisé conçu pour éliminer le processus actuellement complexe de création, de validation, de signature, d'installation et de renouvellement manuels des certificats pour les sites web sécurisés.
Dans le cadre de l'utilisation du processus automatisé de Let's Encrypt pour gérer un certificat, l' écran Let's Encrypt est fourni pour vous aider à configurer et à exécuter facilement le script PowerShell inclus dans le dossier "MDaemon\LetsEncrypt". L'exécution du script permet de tout configurer pour Let's Encrypt, y compris de placer les fichiers nécessaires dans le dossier HTTP du Webmail pour relever le défi http-01. Il utilise le nom d'hôte SMTP du domaine par défaut comme domaine pour le certificat, inclut tout autre nom d'hôte que vous avez spécifié, récupère le certificat, l'importe dans Windows et configure MDaemon pour qu'il utilise le certificat pour MDaemon, Webmail et Remote Admin. Dans le dossier "MDaemon\Logs\", le script crée un fichier journal appelé LetsEncrypt.log. Ce fichier journal est supprimé et recréé à chaque fois que le script est exécuté, et il inclut la date et l'heure début du script. De plus, des e-mails de notification seront envoyés lorsque des erreurs se produisent si vous spécifiez un E-mail de l'administrateur pour les notifications. Voir la rubrique Let's Encrypt pour plus d'informations.
Voir :
