Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Configuration SSL

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Aumont <adresse@cachée>
  • To: Jérôme Marant <adresse@cachée>
  • Cc: adresse@cachée
  • Subject: Re: [sympa-fr] Configuration SSL
  • Date: Wed, 10 Jan 2001 17:23:04 +0100

"Jérôme Marant" wrote:
>
> Bonjour,
>
> Je souhaiterais savoir si le répertoire ssl_cert_dir est même que
> celui spécifié comme chemin d'accès aux certificats dans l'option -CAfile
> (trusted_ca_options) ?
Non 'ssl_cert_dir' dont la valeur par defaut est ~sympa/expl/X509-user-certs
est un répertoire contenant tout les certificats contenu dans des messages
ayant transité sur le serveur. Ce sont donc des certificats email de
personnes.

Si l'on force l'abonnement avec signature S/MIME on raisonnablement sur
d'avoir
les certificats de chaque abonné, on peut alors diffuser des messages cryptés
pourcette liste.

>
> Si j'ai bien compris, le fichier ca-bundle.crt contient l'ensemble
> des certificats des listes, et le mot de passe est censé portèger
> ce fichier ?
Non ca-bundle.crt est une compilation des certificats des différentes
autorités
de confiance. (c'est un fichier texte, je vous invite à y jeter un coup
d'oeil).
Il peut tout à fait être partagé entre Apache et Sympa. Il est probablement
très stable,
mais sa gestion est très délicate : faut-il faire confiance aux certificats
émis par
verisign, thawte, valicert and co ? Faut-il installer sa propre CA et se
limiter
à celle-ci ?
On peut panacher deux méthodes pour énumérer les certificats des CA :
le ca-bundle.crt (voir -option CAfile de OpenSSL) ou un répertoire avec un
accès
par hash (voir l'option CApath de OpenSSL).

La ou les méthodes utilisée sont spécifiées dans sympa.conf avec la
variable trusted_ca_options. Exemple :

trusted_ca_options -CApath /home/sympa/etc/ssl.crt -CAfile
/home/sympa/bin/etc/ca-bundle.crt


Le dernier type de certificat sont ceux des listes. Ils sont stockés dans le
répertoire de la liste : ~sympa/expl/maliste/cert.pem. Reste la clef privée
associée pour chaque certificat de liste : ~sympa/expl/maliste/private_key.
Celle-ci est cryptée, le secret utilisé pour chiffrer ces données est dans
le paramêtre key_passwd de sympa.conf (en attendant de pouvoir entrer ce
secret
au lancement de sympa comme pour apache en https)



--
-----------------------------------------------------------
Serge Aumont Comité Réseaux des Universités
Campus Beaulieu
35042 Rennes Cedex +33 2 998 471 47



Archives gérées par MHonArc 2.6.19+.

Haut de le page