Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] stockage des certificats des abonnés

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Aumont - Comite Reseaux des Universites <adresse@cachée>
  • To: pierre <adresse@cachée>
  • Cc: adresse@cachée
  • Subject: Re: [sympa-fr] stockage des certificats des abonnés
  • Date: Wed, 02 Jun 2004 14:17:18 +0200

pierre wrote:

Après avoir lu et relu la doc concernant l'authentification S/MIME
des abonnés, quelques doutes subsistent.
Où faut il stocker les certificats des abonnés ?
- dans le répertoire x509-user-certs ? sous quel format ?
certificat .pem ? certificat texte ? la concaténation des
deux comme dans le fichier ca-bundle.crt ?

Qui gère les certificats ?

sympa.pl stock les certificats de tout les messsages signés qu'il reçoit dans le répertoire x509-user-certs, au format PEM. Il n'a bien enetndu pas les clés privées !



J'ai tous d'abord testé "Qui peut diffuser des messages" avec
"limité aux abonnés, vérif de la signature smime (private_smime)"
J'ai placé dans le répertoire x509_users le certificat d'un des abonnés
pour tester.


C'est inutile voir de nature à bloquer le processus si par exemple les accès ou le format ne sont pas corrects. Un message signé contient entre autre le certificat du signataire. Sympa extrait ce certificat non pas pour vérifier la signature mais pour chiffrer un message qu'il devrait acheminer dans ce moide à ce destinataire. (Je sais que c'est pas conforme à l'orthodoxie en matière de chiffrement, mais hélàs c'est conforme aux usages du moment. En 4.1.1 Sympa sait utiliser des certificats de signature et de chiffrement différents).

En résumé, ne pas vous occuper de ce répertoire de cache des certificats utilisateurs.


List::new(liste1,skylab)
List::load(liste1, skylab)
Missing directory or config file for liste1
tools::smime_sign_check (message, adresse@cachée, /adresse@cachée)
Verification failure
6606:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:pk7_smime.c:222:Verify error:self signed certificate in certificate chain
Error while verifying the message signature. The message may have been corrupted"


Le PB est là. Votre serveur sympa n'a pas très probabalement pas les ACs ad-hoc pour vérifier la signature de vos messages. Directive capath et/ou cafile de sympa.conf. Je crois que vous ne pouvez pas faire l'économie de lire de la doc sur les IGC. Pour aller droit au but lisez la doc de modSSL www.modssl.org. Ces directives de Sympa sont très exactement les mêmes que SSLCACertificatePath et SSLCACetificateFile.

Serge Aumont

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archives gérées par MHonArc 2.6.19+.

Haut de le page