Accéder au contenu.
Menu Sympa

fr - stockage des certificats des abonnés

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: pierre <adresse@cachée>
  • To: adresse@cachée
  • Subject: stockage des certificats des abonnés
  • Date: Wed, 02 Jun 2004 13:30:34 +0200

Après avoir lu et relu la doc concernant l'authentification S/MIME
des abonnés, quelques doutes subsistent.
Où faut il stocker les certificats des abonnés ?
- dans le répertoire x509-user-certs ? sous quel format ?
certificat .pem ? certificat texte ? la concaténation des
deux comme dans le fichier ca-bundle.crt ?

Qui gère les certificats ?
- sympa lui même ?
- le listmaster ?

J'ai tous d'abord testé "Qui peut diffuser des messages" avec
"limité aux abonnés, vérif de la signature smime (private_smime)"
J'ai placé dans le répertoire x509_users le certificat d'un des abonnés
pour tester. Ne sachant pas le format attendu par sympa j'ai mis les
fichiers suivant :
- le certificat au format .pem
- le certificat au format .crt (texte)
- le certificat plus la clé au format .p12 (PKCS#12)
J'ai testé l'envoi d'un mail a la liste et j'ai reçu le message
d'erreur suivant :
"votre message pour liste1 a été rejeté"

voici le message :
"Return-Path: <adresse@cachée>
X-Original-To: adresse@cachée
Delivered-To: adresse@cachée
Received: from skylab.gotdns.org (anjou-1-81-57-1-144.fbx.proxad.net [81.57.1.144])
by defiant.afnet.fr (Postfix) with ESMTP id 1A8A853F4
for <adresse@cachée>; Fri, 28 May 2004 10:28:08 +0000 (GMT)
Received: by skylab.gotdns.org (Postfix, from userid 100)
id 74F9CBD39; Fri, 28 May 2004 12:28:25 +0200 (CEST)
From: SYMPA <adresse@cachée>
To: adresse@cachée
Subject: Votre message pour liste1 a ete rejete
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Message-Id: <adresse@cachée>
Date: Fri, 28 May 2004 12:28:25 +0200 (CEST)

Votre message pour la liste liste1 a été rejeté.
Le message vous est donc renvoyé.

Votre message :
Return-Path: <adresse@cachée>
X-Original-To: adresse@cachée
Delivered-To: adresse@cachée
Received: from postfix4-2.free.fr (postfix4-2.free.fr [213.228.0.176])
by skylab.gotdns.org (Postfix) with ESMTP id 00E8DBCFA
for <adresse@cachée>; Fri, 28 May 2004 12:28:20 +0200 (CEST)
Received: from [192.168.2.52] (anjou-1-81-57-1-144.fbx.proxad.net [81.57.1.144])
by postfix4-2.free.fr (Postfix) with ESMTP id 615C31115DE
for <adresse@cachée>; Fri, 28 May 2004 12:28:02 +0200 (CEST)
Date: Fri, 28 May 2004 12:27:57 +0200
From: pierre <adresse@cachée>
To: adresse@cachée
Subject: test de signature
Message-ID: <8A1A543DF494120E0B7EA032@[192.168.2.52]>
X-Mailer: Mulberry/3.1.4 (Win32 Demo)
MIME-Version: 1.0
Content-Type: multipart/signed; micalg=sha1;
protocol="application/pkcs7-signature";
boundary="==========73328B791BFE27DFB991=========="

--==========73328B791BFE27DFB991==========
Content-Type: text/plain; charset=iso-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

test pass=E9 av succ=E8s !!
--==========73328B791BFE27DFB991==========
Content-Type: application/pkcs7-signature
Content-Transfer-Encoding: base64
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--==========73328B791BFE27DFB991==========-- "

J'ai donc pensé que j'avais mal stocké le certificat de l'abonné.
Voici un extrait des fichier de log :

"Jun 2 12:14:38 skylab wwsympa[6493]: [client 192.168.2.14] [user adresse@cachée] [list liste1] d_access_control
Jun 2 12:14:38 skylab wwsympa[6493]: [client 192.168.2.14] [user adresse@cachée] [list liste1] do_edit_list()
Jun 2 12:14:38 skylab wwsympa[6493]: [client 192.168.2.14] [user adresse@cachée] [list liste1] d_access_control
Jun 2 12:14:38 skylab wwsympa[6493]: [client 192.168.2.14] [user adresse@cachée] [list liste1] do_edit_list_request()
Jun 2 12:17:06 skylab sympa[3464]: Missing directory or config file for liste1
Jun 2 12:17:07 skylab sympa[3464]: Error while verifying the message signature. The message may have been corrupted
Jun 2 12:17:07 skylab sympa[3464]: Processing message for liste1 with priority 5, <03E01EA1614E25BECEF149FA@[192.168.2.14]>
Jun 2 12:17:07 skylab sympa[3464]: Message for liste1 from adresse@cachée rejected() because sender not allowed
Jun 2 12:17:07 skylab sympa[3464]: Moving bad file adresse@cachée to bad/"

Voici un extrait des messages de debugage de sympa :

"Processing /adresse@cachée with priority 5
DoFile(/adresse@cachée)
Message::new(/adresse@cachée)
List::new(liste1,skylab)
List::load(liste1, skylab)
Missing directory or config file for liste1
tools::smime_sign_check (message, adresse@cachée, /adresse@cachée)
Verification failure
6606:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:pk7_smime.c:222:Verify error:self signed certificate in certificate chain
Error while verifying the message signature. The message may have been corrupted"


A priori il y a un problème de fichier de configuration concernant la liste. Mais je ne sais pas ou regarder.
Il y a également un problème de certificat auto signé. Pourtant le certificat est signé par mon
autorité de certification : ca_pedro. Faut il que je mette le certificat de mon autorité a la suite
du fichier ca-bundle.crt ? si oui sous quel format ? sinon comment faire pour que mon certificat soit valide.

J'ai vérifié le fichier de conf de sympa dont voici un extrait :

"#-- S/MIME configuration begin
# DO NOT REMOVE SURROUNDING COMMENTS

# DO NOT MODIFY TEMPLATE VARIABLES
# If you want to reconfigure Sympa for using S/MIME, please run
# dpkg-reconfigure -plow sympa

# Location of the openssl binary
openssl /usr/bin/openssl

# Openssl CA Options
capath /etc/ssl/certs
cafile /usr/share/sympa/ca-bundle.crt

# Password to the lists private key (template variable)
key_passwd pierre

# SSL certificates directory
ssl_cert_dir /var/lib/sympa/x509-user-certs

#-- S/MIME configuration end"

Ne sachant plus quoi faire, je suis retourné sur le site sympa.org
j'y ai trouvé un document en Anglais dont voici un extrait :

"It may be a nice idea to configure subscription in such a list to require
smime authentication method. This allow Sympa to store subscribers
certificate when receiving the signed command message"
"<http://www.sympa.org/documentation/article_smime/sympasmime.html>"

J'ai testé cette technique en envoyant une demande d'inscription par
mail signé à adresse@cachée. Malheureusement Sympa a répondu
"Vous n'êtes pas autorisé à exécuter la commande subscribe dans la
liste liste1.". Pourtant dans "qui peut s'abonner" j'ai bien mis
"demande d'abonnement avec signature par certificat (smime)"
Le certificat utilisé a été signé par la même CA que le certificat
de ma liste adresse@cachée.

Quel est mon erreur ? je suis un peu perdu....
J'espère ne pas vous avoir noyé avec tous ces extraits de fichier ou de log...

Merci pour votre aide

Pierre







Archives gérées par MHonArc 2.6.19+.

Haut de le page