 |
    |
|
|
|
||||
Avant-propos.Avant de vous lancer dans l'installation de S/MIME, il faut que vous soyez familiarisé avec certains concepts. Si vous êtes arrivé sur cette page directement, lisez d'abord l'article sur la préservation de la confidentialité des courriels. Sommaire.Intégration dans votre logiciel de courriel. Intégration dans le logiciel de courriel de vos correspondants. Que faire en cas de perte ou de corruption de mon certificat ? Pré-requis.Il est préférable d'imprimer la présente page avant de continuer. La procédure décrite ici a été réalisée en utilisant le navigateur Firefox. Certains butineurs ont parfois un comportement différent, il est par conséquent recommandé que vous fassiez de même. Si vous êtes sous Mac OS X, allez dans les préférences du Finder, puis dans l'onglet « Avancé » et cochez « Affichez toutes les extensions de fichier ».Pour générer vos clefs, vous devez disposer d'OpenSSL qui est fourni en standard avec la majorité des Unix (GNU/Linux, Mac OS X, etc.). Sous Windows il est également possible de l'obtenir, mais ce n'est pas notre propos ici. Nous nous attacherons ici au mode opératoire sous Mac OS X, il est quasiment identique sous GNU/Linux. Il faut également que vous ayez un compte chez Thawte. Suivez la procédure d'enregistrement avec rigueur, donnez les informations demandées sans regimber. S/MIME fonctionne avec des autorités de certification et il est normal qu'une autorité s'assure de votre identité en vous demandant des informations personnelles. Créez votre compte chez Thawte en suivant la procédure décrite ici. Création des clefs.Lancez un « Terminal » (il se trouve dans le dossier /Applications/Utilities/) et tapez les commandes (vous pouvez faire des copier/coller) : cd ~ Créer votre certificat.Génération par Thawte.Le certificat est en fait votre clef publique que Thawte va signer. Commencez la procédure en allant ici. Cliquez sur « Test » dans la rubrique Developers of New Security Applications ONLY. Choisissez ensuite Paste-in CSR Certificate Enrollment et suivez la procédure en prenant les valeurs par défaut jusqu'à obtenir cette page :
Copiez les lettres en rouge (LTJ7BRQQJUtRTA05 sur notre copie d'écran), nous allons en avoir besoin. Dans le Terminal : openssl req -new -key key > csr La procédure pour créer la demande commence. Il faudra mettre les lettres en rouge dans la question « Common Name (eg, YOUR name) » : You are about to be asked to enter information that will be incorporated into your certificate request. Votre demande de certificat est prête : cat csr Vous obtenez quelque chose du genre : -----BEGIN CERTIFICATE REQUEST----- Copiez ce bloc en entier et collez le dans votre navigateur. Terminez ensuite la procédure. Vous pouvez à présent vous reposer un peu ; Thawte travaille à fabriquer le certificat et va vous envoyer un courriel au bout d'un petit moment. Si la réponse tarde, vous pouvez voir l'avancement ici. Dès que votre certificat est passé à l'état « issued », vous pouvez le récupérer en cliquant sur « Generic X509: ». Récupération du certificat.Une fois votre courriel reçu, allez à l'adresse indiquée avec le même navigateur que celui qui a servi à faire votre requête. Thawte vous renvoie une page avec votre certificat sous forme de texte dans votre butineur : We deliver your developer cert as a chain, and we deliver it in Copier l'ensemble de la page et coller la dans votre éditeur de texte préféré du terminal (pico ou emacs par exemple). Puis procédez à toutes les manipulations suivantes :
Toujours dans le terminal : openssl pkcs7 -in pk7 -print_certs -out cert et pour terminer en mettant votre adresse de courriel dans cette commande : openssl pkcs12 -export -in cert -inkey key -name votremail@votrefournisseur.qqchose -out mycert.p12 Cette commande va vous demander de créer un mot de passe. Prenez le même que celui que vous avez donné dans votre compte Thawte. Ainsi, vous ne l'oublierez pas. Utiliser mon certificat.Vous disposez à présent d'un certificat complet (clef publique, clef secrète, signatures de l'autorité de certification) avec son mot de passe dans le fichier « mycert.p12 ». Gardez-le bien en sécurité et ne le communiquez à personne. C'est ce fichier qui vous sera demandé quand il faudra importer votre certificat dans les logiciels qui utilisent S/MIME. Vous pouvez par conséquent le renommer ; il est toutefois recommandé de garder l'extension « .p12 ». Tous les fichiers intermédiaires qui ont servi à créer « mycert.p12 » doivent être soigneusement détruits. Si vous perdez votre certificat ou que vous pensez que quelqu'un a pu avoir accès à votre clef secrète, Thawte vous permet de le révoquer. Il vous suffit d'entrer dans votre compte et de suivre la procédure ad hoc. Ensuite, il vous faudra recréer un autre certificat en partant de zéro. Intégration dans votre logiciel de courriel.S/MIME est très bien géré par les principaux logiciels de courriels disponibles. Nous vous présentons des modes d'emploi pour Apple Mail, Thundebird, Outlook Express ou encore Entourage. Intégration dans le logiciel de courriel de vos correspondants.Si votre certificat a été émis par un des leader du marché comme Verisign ou encore Thawte, tout est transparent et automatique. Dès que le logiciel de mails de votre correspondant reçoit un courriel que vous avez signé, il intègre votre clef publique et la vérifie sans poser de questions à l'utilisateur. Si vous utilisez un certificat émis par une société française, c'est plus ardu. En effet, le logiciel de courriels de votre correspondant ne les connaît pas d'emblée. Votre correspondant doit mettre en place l'autorité de certification dans son logiciel. Ce n'est pas toujours évident. À titre d'exemple, voici la page ad hoc de Certinomis. Autant le dire, convaincre vos correspondants de faire ces manipulations tient de la gageure. Le mot de la fin.Ce fut un peu laborieux, c'est entendu. Mais vous avez maintenant un bel outil très confortable pour authentifier, voire décrypter, vos courriels. Ne serait-ce que pour la possibilité de signer vos missives, il était temps. |
