IceWarp jusqu'à v11 -
Pour les versions plus anciennes, il est conseillé de mettre à jour la version ou d'utiliser les méthodes décrites ci-dessous.
Le serveur IceWarp est livré par défaut avec un certificat auto signé non valide pour le serveur que vous avez défini. Il faut impérativement le changer.
Il faut utiliser un certificat qui peut être :
A - Émis par une autorité de certification (CA)
B - Auto-signé. Les certificats auto-signés sont moins sûrs mais ils sont de mois en moins acceptés.
Si vous avez plusieurs domaines et que vous voulez associer un certificat différent pour chaque domaine vous pouvez le faire sans contrainte si vous avez une version IceWarp 11.3+
Sinon, il faut associer une adresse IP distincte pour chaque domaine et un certificat par adresse IP ou acheter un certificat multi-domaine auprès d'une autorité de certification.
A - Création et installation d’un certificat serveur délivré par une autorité de certification
Les étapes à réaliser sont les suivantes :
1. Créer le CSR (Certificate Signing Request) pour le nom de serveur à sécuriser. Il faut aller dans la console d’administration d’IceWarp : Système -> Certificats -> Créer CSR/certificat serveur…
2. Renseigner les champs. Ne pas oublier de cocher la case ‘Créer une demande de signature de certificat (CSR)’.
Le champ ‘Nom d’hôte (FQDN)’ est très important. Le certificat sera généré pour ce nom et pour ce nom uniquement.
Par exemple, si on veut sécuriser les connexions au webmail https://webmail.icewarp.fr alors il faut entrer : webmail.icewarp.fr dans ce champ (sans le préfixe https://) :
3. Cliquer sur ‘Valider’ et enregistrer le fichier cert.csr (dans n’importe quel répertoire sur le serveur, par ex. vous pouvez utiliser <répertoire d'installation>\config\_certs\csr\)
4. Le système informe que le CSR est créé :
et une ligne [CSR] est ajoutée dans la liste des certificats du serveur.
5. Deux fichiers sont automatiquement créés dans <Répertoire d’installation>\config\_certs\csr\ :
- webmail.icewarp.fr IceWarp 20120426101744.csr
- webmail.icewarp.fr IceWarp 20120426101744.key
Le .csr est la demande de création de certificat et le .key est la clé privée du certificat.
La clé privée, comme son nom l'indique, ne doit pas être communiquée aux tiers.
Il ne faut ni modifier ni supprimer ces deux fichiers.
6. Envoyer la demande de certificat (.csr) à l'autorité de
certification, qui doit vous renvoyer le certificat associé au nom
indiqué dans le champ "Nom d'hôte (FQDN)".
Enregistrer le certificat envoyé par l'autorité de certification.
7. Construire le certificat complet. Le certificat final doit comporter a minima deux parties (La clé
privée et tous les certificats doivent être au format base64 PEM) :
- une première partie qui est la clé privée (fichier .key généré ci dessus)
- une deuxième partie qui est le certificat renvoyé par l'autorité de certification
Cela donne
-----BEGIN RSA PRIVATE KEY-----
<clé privé>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<certificat envoyé par l'autorité de certification>
-----END CERTIFICATE-----
Si l'autorité de certification vous a également envoyé un certificat
intermédiaire de la chaîne de confiance et son certificat racine, il
faut les ajouter au certificat final :
Cela donne
-----BEGIN RSA PRIVATE KEY-----
<clé privé>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
<certificat envoyé par l'autorité de certification>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<certificat intermédiare>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<certificat racine de l'autorité>
-----END CERTIFICATE-----
Vous construisez un fichier comme indiqué ci dessus (l'ordre, les balises et les retours chariot sont importants).
8. Aller sur la console d'administration dans Système -> Certificats -> onglet Certificats serveur et cliquer sur ‘Ajouter.Créer...’.
Choisir la première option ‘Ajouter un certificat existant’ et donner le chemin d'accès vers le fichier construit dans l'étape précédente.
Le certificat doit s'installer et apparaître dans la liste des certificats. Vérifier les caractéristiques de celui-ci, notamment le FQDN et la date de validité.
Le cas échéant, attribuer la propriété ‘Certificat par défaut’ au certificat nouvellement ajouté (avec un clic droit sur le certificat)
Si il y avait un ancien certificat pour le même domaine, le séclectionner et cliquer sur le bouton ‘Supprimer’.
Redémarrer tous les services IceWarp (Système -> Services -> bouton ‘Redémarrer tous les modules’) pour la prise en compte du certificat.
B - Création et installation d'un certificat auto-signé
Le certificat auto-signé se crée dans Système -> Certificats ->
onglet Certificats Serveur -> Créer CSR / certificat serveur...
Vous pouvez remplir les champs qui ne sont pas définis par défaut mais le
seul paramètre important est le Nom d'hôte (FQDN) qui doit être le nom de
votre serveur. Il faut aussi indiquer une adresse mail du serveur. La clé doit faire au moins 3072 bits.
Il
ne faut pas cocher la case "Créer une demande de signature de
certificat (CSR)" qui ne doit être utilisée qui si vous voulez faire
signer votre certificat par une autorité de certification.
Lorsque le message suivant apparaît :
vous devez répondre "Oui" et le certificat apparaît dans la fenêtre des certificats avec "Default" comme adresse IP.
Pour que le nouveau certificat soit pris en compte, il faut redémarrer le service correspondant (Web, SMTP, IMAP, POP3).
Modifié le 27/03/2023
