|
Création et utilisation de certificats SSL |
Faire défiler Précédente Haut de page Suivante Plus |
Les certificats générés par MDaemon via la boîte de dialogue "Créer un certificat SSL" sont auto-signés. Autrement dit, l’émetteur du certificat (ou autorité de certification) et le propriétaire du certificat sont les mêmes. Ce procédé est entièrement valide et autorisé. Mais comme l'autorité de certification n'est pas encore répertoriée dans la liste des autorités de confiance des utilisateurs, chaque fois qu'ils se connectent à l'URL HTTPS de MDaemon Webmail ou de MDaemon Remote Admin, un message leur demande s'ils souhaitent se diriger vers le site et/ou installer le certificat. Dès lors qu'ils acceptent d'installer le certificat et approuvent le domaine MDaemon Webmail en tant qu'autorité de certification valide, le message ne s'affiche plus.
Si vos utilisateurs se connectent à MDaemon via un client de messagerie tel que Microsoft Outlook, ils n'ont pas la possibilité d'installer le certificat. Cependant, un message leur propose de l'utiliser temporairement, même s'il n'est pas validé. Ce message s'affiche chaque fois qu'ils démarrent leur client de messagerie et se connectent au serveur. Pour éviter ce problème, vous pouvez obtenir un certificat auprès d'une autorité de certification telle que Let's Encrypt, ou bien exporter votre certificat auto-signé et le distribuer à vos utilisateurs par e-mail ou d'une autre façon. Une fois le certificat installé manuellement puis approuvé, le message ne s'affiche plus.
Création d'un certificat
Pour créer un certificat dans MDaemon :
1.Ouvrez l'écran "SSL & TLS" dans MDaemon (menu Sécurité » Paramètres de sécurité » SSL & TLS » MDaemon).
2.Cochez la case Activer SSL, STARTTLS et TLS.
3.Cliquez sur Créer certificat.
4.Dans le champ Nom d'hôte, entrez le domaine auquel le certificat appartient (ex. : "mail.exemple.com").
5.Dans le champ Nom de l'organisation/entreprise, tapez le nom de l'organisation ou entreprise propriétaire du certificat.
6.Dans le champ Autres noms d'hôtes, entrez les noms des autres domaines utilisés par vos comptes pour accéder au serveur (ex. : "*.exemple.com", "exemple.com", "mail.altn.com", etc.).
7.Dans la liste déroulante, sélectionnez la longueur de la clé de cryptage.
8.Sélectionnez le pays ou la région où le serveur est installé.
9.Cliquez sur OK.
Utilisation d'un certificat créé par une autorité tierce
Si vous avez acheté ou généré un certificat depuis une autre source, vous pouvez toujours vous en servir en l'important dans le magasin de certificats utilisé par MDaemon à l'aide de la console MMC (Microsoft Management Console) :
| 1. | Dans la barre d'outils de Windows, cliquez sur Démarrer » Exécuter, puis entrez "mmc/a" dans le champ Ouvrir. |
| 2. | Cliquez sur OK. |
| 3. | Dans la console MMC, cliquez sur Fichier » Ajouter/Supprimer un composant logiciel enfichable (ou appuyez sur les touches Ctrl+M de votre clavier). |
| 4. | Dans l'onglet Autonome, cliquez sur Ajouter. |
| 5. | Cliquez ensuite sur Certificats, puis sur Ajouter. |
| 6. | Sélectionnez Compte de l'ordinateur, puis cliquez sur Suivant. |
| 7. | Sélectionnez Ordinateur local, puis cliquez sur Terminer. |
| 8. | Cliquez sur Fermer, puis sur OK. |
| 9. | Dans Certificats (Ordinateur Local), si le certificat que vous importez est auto-signé, cliquez sur Autorités de certification racines de confiance, puis sur Certificats. S'il n'est pas auto-signé, cliquez sur Personnel. |
10. Dans la barre de menus, cliquez sur Action » Toutes les tâches » Importer, puis sur Suivant.
11. Entrez le chemin d’accès du certificat à importer (cliquez sur Parcourir si nécessaire), puis cliquez sur Suivant.
12. Cliquez sur Suivant, puis sur Terminer.
|
MDaemon n’affiche que les certificats avec des clés privées qui utilisent le format PKCS#12 (Personal Information Exchange). Si le certificat que vous avez importé n’apparaît pas dans la liste, vous devrez importer un fichier *.PEM, qui contient à la fois une clé certifiée et une clé privée. En important ce fichier à l’aide du processus détaillé ci-dessus, il sera converti au format PKCS#12. |
Utilisation de Let's Encrypt pour gérer votre certificat
Let's Encrypt est une autorité de certification qui fournit des certificats gratuits via un processus automatisé. Faire appel à cette autorité élimine les opérations manuelles complexes de création, validation, signature, installation et renouvellement de certificats pour vos sites web sécurisés.
L'écran Let's Encrypt a été intégré pour prendre en charge le processus automatisé de Let's Encrypt pour la gestion des certificats. Il permet de configurer et d'exécuter facilement le script PowerShell inclus dans le dossier \LetsEncrypt de MDaemon.
Lors de son exécution, le script configure tous les éléments requis pour Let's Encrypt, y compris l'enregistrement des fichiers nécessaires au challenge http-01 dans le répertoire HTTP de MDaemon Webmail. Il utilise le nom d'hôte SMTP du domaine par défaut comme domaine pour le certificat, collecte le certificat, l'importe dans Windows, puis configure son utilisation avec MDaemon, MDaemon Webmail et MDaemon Remote Admin.
Un fichier journal nommé LetsEncrypt.log est créé par le script dans le répertoire MDaemon\Logs\. Il inclut la date et l'heure de début du script, est supprimé puis recréé à chaque exécution du script. Par ailleurs, des e-mails de notification sont envoyés en cas d'erreur lorsque le champ "E-mail de l'administrateur pour les notifications" est rempli. Pour en savoir plus, consultez la rubrique Let's Encrypt.
Voir :
