Création de certificats serveur

Détails des articles
Lien: https://support.icewarp.fr/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=332
Code d'identification de l'article: 332
Créé le: 24 Aug 2012 12:10 PM

Réponse IceWarp jusqu'à v11 -

Pour les versions au delà de la v11.4, merci d'utiliser le guide d'installation d'un certificat.

Pour les versions plus anciennes, il est conseillé de mettre à jour la version ou d'utiliser les méthodes décrites ci-dessous.

Le serveur IceWarp est livré par défaut avec un certificat auto signé non valide pour le serveur que vous avez défini. Il faut impérativement le changer.

Il faut utiliser un certificat qui peut être :
A - Émis par une autorité de certification (CA)
B - Auto-signé. Les certificats auto-signés sont moins sûrs mais ils sont de mois en moins acceptés.

Si vous avez plusieurs domaines et que vous voulez associer un certificat différent pour chaque domaine vous pouvez le faire sans contrainte si vous avez une version IceWarp 11.3+
Sinon, il faut associer une adresse IP distincte pour chaque domaine et un certificat par adresse IP ou acheter un certificat multi-domaine auprès d'une autorité de certification.

A - Création et installation d’un certificat serveur délivré par une autorité de certification

Les étapes à réaliser sont les suivantes :

1. Créer le CSR (Certificate Signing Request) pour le nom de serveur à sécuriser. Il faut aller dans la console d’administration d’IceWarp : Système -> Certificats -> Créer CSR/certificat serveur…

2. Renseigner les champs. Ne pas oublier de cocher la case ‘Créer une demande de signature de certificat (CSR)’.
Le champ ‘Nom d’hôte (FQDN)’ est très important. Le certificat sera généré pour ce nom et pour ce nom uniquement.
Par exemple, si on veut sécuriser les connexions au webmail https://webmail.icewarp.fr alors il faut entrer : webmail.icewarp.fr dans ce champ (sans le préfixe https://) :



3. Cliquer sur ‘Valider’ et enregistrer le fichier cert.csr (dans n’importe quel répertoire sur le serveur, par ex. vous pouvez utiliser <répertoire d'installation>\config\_certs\csr\)

4. Le système informe que le CSR est créé :

et une ligne [CSR] est ajoutée dans la liste des certificats du serveur.

5. Deux fichiers sont automatiquement créés dans <Répertoire d’installation>\config\_certs\csr\ :
- webmail.icewarp.fr IceWarp 20120426101744.csr
- webmail.icewarp.fr IceWarp 20120426101744.key

Le .csr est la demande de création de certificat et le .key est la clé privée du certificat.
La clé privée, comme son nom l'indique, ne doit pas être communiquée aux tiers.
Il ne faut ni modifier ni supprimer ces deux fichiers.


6. Envoyer la demande de certificat (.csr) à l'autorité de certification, qui doit vous renvoyer le certificat associé au nom indiqué dans le champ "Nom d'hôte (FQDN)".

Enregistrer le certificat envoyé par l'autorité de certification.

7. Construire le certificat complet. Le certificat final doit comporter a minima deux parties (La clé privée et tous les certificats doivent être au format base64 PEM) :
- une première partie qui est la clé privée (fichier .key généré ci dessus)
- une deuxième partie qui est le certificat renvoyé par l'autorité de certification

Cela donne

-----BEGIN RSA PRIVATE KEY-----

<clé privé>

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

<certificat envoyé par l'autorité de certification>

-----END CERTIFICATE-----


Si l'autorité de certification vous a également envoyé un certificat intermédiaire de la chaîne de confiance et son certificat racine, il faut les ajouter au certificat final :

Cela donne

-----BEGIN RSA PRIVATE KEY-----

<clé privé>

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

<certificat envoyé par l'autorité de certification>

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

<certificat intermédiare>

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

<certificat racine de l'autorité>

-----END CERTIFICATE-----


Vous construisez un fichier comme indiqué ci dessus (l'ordre, les balises et les retours chariot sont importants).

8. Aller sur la console d'administration dans Système -> Certificats -> onglet Certificats serveur et cliquer sur ‘Ajouter.Créer...’.
Choisir la première option ‘Ajouter un certificat existant’ et donner le chemin d'accès vers le fichier construit dans l'étape précédente.
Le certificat doit s'installer et apparaître dans la liste des certificats. Vérifier les caractéristiques de celui-ci, notamment le FQDN et la date de validité.
Le cas échéant, attribuer la propriété ‘Certificat par défaut’ au certificat nouvellement ajouté (avec un clic droit sur le certificat)
Si il y avait un ancien certificat pour le même domaine, le séclectionner et cliquer sur le bouton ‘Supprimer’.
Redémarrer tous les services IceWarp (Système -> Services -> bouton ‘Redémarrer tous les modules’) pour la prise en compte du certificat.

B - Création et installation d'un certificat auto-signé

Le certificat auto-signé se crée dans Système -> Certificats -> onglet Certificats Serveur -> Créer CSR / certificat serveur...

Vous pouvez remplir les champs qui ne sont pas définis par défaut mais le seul paramètre important est le Nom d'hôte (FQDN) qui doit être le nom de votre serveur.
Il faut aussi indiquer une adresse mail du serveur. La clé doit faire au moins 3072 bits.

Il ne faut pas cocher la case "Créer une demande de signature de certificat (CSR)" qui ne doit être utilisée qui si vous voulez faire signer votre certificat par une autorité de certification.

Lorsque le message suivant apparaît :



vous devez répondre "Oui" et le certificat apparaît dans la fenêtre des certificats avec "Default" comme adresse IP.

Pour que le nouveau certificat soit pris en compte, il faut redémarrer le service correspondant (Web, SMTP, IMAP, POP3).


Modifié le 27/03/2023