Aller au contenu


installer un certificat Gandi


  • Ce sujet est fermé Ce sujet est fermé
4 réponses à ce sujet

#1 xeno

xeno

    Membre

  • Membres
  • 21 messages

Posté 19 septembre 2010 - 15:56

Bon alors après avoir galérer a cause de tutoriel incomplet pour moi,
j'ai fini par réussir a installer un certificat de chez Gandi.

je essayé ce tuto qui fonctionne, http://www.zimbrafr....h__1#entry13914
mais le souci c'est qu'avec cacert.org on a toujours ce message en rouge sous internet explorer et qu'il faut toujours cliquer pour que cela fonctionne.

autre difficulté; le fichier *.csr générer par zimbra ne fonctionne pas;
Avec cacert par exemple il faut un fichier qui soit dépourvu de libellé pour "Organization Name ", "Organizational Unit Name" hors avec zimbra ce n'est pas possible puisque si l'on ne renseigne pas il rajoute "Organisation zimbra truc quelque chose".


alors j'ai insisté avec Gandi, qui lui est reconnu, mais qui n'est pas une autoritée racine, d'où la difficulté avec leur
certificat.

autres liens intéressant du forum

http://www.zimbrafr....h__1#entry16359
http://www.zimbrafr....h__1#entry13075

J'ai générer a l'aide de openssl le fichier csr pour gandi, dans un répertoire provisoire /tmp/zimbrassl

pour mes exemples j'ai repris le nom de domaine du forum, si cela pose problème je changerai, mais je trouve que c'est plus parlant que biduletruc.tld

donc ont remplace ww.zimbrafr.org pas son domaine.fr

Note: perso j' utilise le certificat gratuit de gandi, mais celui çi est limité à une clée de 1024 et n'accepte pas le wildcard *.zimbrafr.org
et je suis sous zimbra opensource Release 6.0.7_GA_2473.F11_20100616212224 F11 FOSS edition.

Citation


saisir:

openssl req -nodes -newkey rsa:1024 -keyout ww.zimbrafr.org.key -out ww.zimbrafr.org.csr [ENTER]


Generating a 1024 bit RSA private key
......++++++
.................++++++
writing new private key to ww.zimbrafr.org.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR [ENTER]
State or Province Name (full name) [Berkshire]: [ENTER]
Locality Name (eg, city) [Newbury]:Nantes [ENTER]
Organization Name (eg, company) [My Company Ltd]:Masociété [ENTER]
Organizational Unit Name (eg, section) []: [ENTER]
Common Name (eg, your name or your server's hostname) []:ww.zimbrafr.org [ENTER]
Email Address []:webmast@zimbrafr.org [ENTER]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:  [ENTER]
An optional company name []: [ENTER]


on ouvre le fichier ww.zimbrafr.org.csr

on copie l'intégralité du texte dans la console de Gandi et l'on choisi "Tomcat" pour le choix du logiciel utilisé

Image IPB


Gandi fait sa mixture, envoi des messages par e-mail , blabla

et on arrive sur la fenêtre pour récupérer les deux fichiers.

Image IPB

maintenant on va bidouiller, car Gandi n'étant pas une autoritée racine, et vu qu'il ne fournisse q'une partie.... :rolleyes:

enfin bref.

Avec Firefox on va récupérer les deux fichiers qui vont compléter celui de Gandi "GandiStandardSSLCA.pem".

Donc dans les options de firefox .

Image IPB



Image IPB


on exporte AddTrust External CA Root et UTN-USERFirst-Hardware.

Maintenant l'on va assembler les trois fichiers dans un seul fichier ca_bundle.crt.
l'ordre est important

Citation


#cat AddTrustExternalCARoot.crt UTN-USERFirst-Hardware.crt GandiStandardSSLCA.pem > ca_bundle.crt


Image IPB

Donc maintenant il faut intégrer à zimbra, alors pour mémoire il nous faut maintenant;

ca_bundle.crt ----> qui contient l'ensemble des autorités de certification de et donc dépend Gandi
ww.zimbrafr.org.key -----> qui a été créé pendant la génération du fichier csr
cert-www.zimbrafr.org.crt  ----> qui est le certificat généré pas Gandi

ses trois fichiers sont à copier dans le répertoire de zimbra

Citation

/opt/zimbra/ssl/zimbra/commercial/

il peut être utile de sauvegarder ce qu'il contient avant :cool:

car on va les remplacer.

on renomme les trois fichier comme suit

ca_bundle.crt ----> commercial_ca.crt
ww.zimbrafr.org.key ---->commercial.key
cert-www.zimbrafr.org.crt ----> commercial.crt


Bon arrivé là perso j'ai pas pris de précaution et j'ai directement lancer l'intégration, après je ne sais combien d'essai j'en avait un peu marre  :D


alors du coup, pour faire ingérer à zimbra cette maudite clée  :D

Citation


/opt/zimbra/bin/zmcertmgr deploycrt comm commercial.crt commercial_ca.crt


là normalement si tout se passe bien vos yeux doivent pétiller de bonheur.
devant les lignes qui doivent s'afficher.

on relance la machine zimbra

Citation


zmcontrol restart



Bon alors voilà comment j'ai fait,  cela à fonctionné ainsi,
j'espère que ce tuto servira, qui est le premier que je fait et à défaut rendra un peu plus clair la compréhension des certificats.
je précise que je ne suis pas un pro linux, donc je ne maitrise pas tout, mais je me débrouille..  :P

Ps: ce qui m'eclate c'est le temps que j'ai passé à comprendre, et que maintenant, cela se résume juste à quelque ligne et que cela me semble si clair maintenant :(

Modifié par Admin Zimbrafr.org, 01 décembre 2010 - 11:40.

Zimbra OSE V8.6.0 GA Release Patch 6 / Ubuntu 14.04 LTS 64 bits / Paravirtualized Xen (DomU 2Vcpus 4Go ram)

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 514 messages
  • LocalisationPlanète Terre

Posté 20 septembre 2010 - 09:10

Merci pour ce retour et persévère avec GNU/Linux, tu verras c'est très enrichissant.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#3 bartounet

bartounet

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 2 825 messages
  • LocalisationAngoulême

Posté 20 septembre 2010 - 14:57

Merci !
peut être pourrait-on l'épingler ?
Serveur Production 2 Dell R905 128Go Ram cluster DRBD Xen 3.2 - SLES11 64bits
Zimbra NE V7.1.4 Xen SLES11-SP1 Paravirtualized (DomU 4Vcpus 8Go ram) - Prod 200 users
Serveur Perso HP Proliant DL120 DEDIBOX PRO Xeon® E3-1220 16Go Ram Opensuse 12.1 64bits Virtualisation Xen4
Zimbra OSE V8 Xen Ubuntu 10.04 LTS 64 bits Paravirtualized (DomU 2Vcpus 4Go ram) + Zextras - Potes et assoc
Auto-entreprise: Solutions informatiques sur mesure : http://www.info16.fr
Mon blog : http://blog.info16.fr
Image IPBImage IPBImage IPB

#4 androme

androme

    Modérateur Grognon

  • Modérateurs
  • 1 795 messages
  • LocalisationArles

Posté 20 septembre 2010 - 15:27

Sujet épinglé
7.1.3 NE   : IBM 3350 -> SAN FC (SLES 11 x64 sous vSphere) 750 Users (~ 1000 en fin de migration)
7.1.3 OSE : IBM 3350 -> SAN FC  (SLES 11 x64 sous vSphere)750 Users

#5 xeno

xeno

    Membre

  • Membres
  • 21 messages

Posté 21 septembre 2010 - 02:04

Merci, je n'en demandais pas tant  :P
je viens de réussir a paramétrer funambol sur zimbra, un beau délire lui aussi  :rolleyes:
Zimbra OSE V8.6.0 GA Release Patch 6 / Ubuntu 14.04 LTS 64 bits / Paravirtualized Xen (DomU 2Vcpus 4Go ram)




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)