pages tagged encryptionhroy.euhttps://hroy.eu/tags/encryption/hroy.euikiwiki2015-07-29T09:52:14Zhttps://hroy.eu/tips/openSSL/2015-07-29T09:52:14Z2015-07-29T09:37:34Z
<p>Hier, j'étais au <a href="https://leloop.org/">loop</a> avec <a href="https://about.okhin.fr/">Okhin</a> pour refaire le chiffrement de
mon serveur mail, que je viens de réinstaller (Kolab 3.4, Debian 8).</p>
<p>Voici quelques liens qui nous ont été utiles :</p>
<ul>
<li><p><a href="http://www.akadia.com/services/ssh_test_certificate.html">How to create a self-signed SSL Certificate</a></p>
<p>Attention cependant, en suivant ces instructions on crée un
certificat avec le <em>flag CA false</em> alors que pour utiliser un
certificat autosigné sur Android, il faut absolument que le <em>flag
CA</em> soit <em>true</em> (voir <a href="https://hroy.eu/tags/encryption/#androidCAself">ci-dessous</a>).</p>
<p>Finalement, voici la commande qui m'a permis de faire le
certificat, dans <code>/etc/ssl/private/</code>:</p>
<pre><code>openssl req -x509 -new -key totosh.ampoliros.net.key -out totosh.ampoliros.net.csr -days 730
</code></pre>
<p>Cette commande remplace l'étape 2. L'étape 4 n'est donc pas
nécessaire semble-t-il.</p>
<p>Ensuite, je copie <code>totosh.ampoliros.net.csr</code> vers
<code>/etc/ssl/certs/totosh.ampoliros.net.crt</code> puis je configure mes
services pour utiliser ce certificat ainsi que la clé privée générée à
l'étape 1.</p></li>
<li><p><a href="https://www.jeveuxhttps.fr/">Je veux HTTPS</a></p>
<p>Utilisé pour configurer Apache2.</p></li>
<li><p><a href="http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/">Exemples de configuration Postfix de Benjamin Sonntag</a></p>
<p>Sans oublier de générer <code>dh2048.pem</code>:</p>
<pre><code>openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
</code></pre></li>
<li><p><a href="https://docs.kolab.org/howtos/secure-kolab-server.html">Securing all Kolab Services</a></p>
<p>Utilisé pour configurer Cyrus IMAPD.</p></li>
</ul>
<h3>Importer un certificat autosigné dans <span id="androidCAself">Android</a></h3>
<p>Normalement, avec la commande openssl donnée plus haut, on génère un
certificat autosigné acceptable pour Android.</p>
<p>On peut par exemple utiliser l'application <a href="https://f-droid.org/repository/browse/?fdfilter=dav&fdid=at.bitfire.cadroid">CAdroid</a> pour importer le
certificat.</p>
<p>Si on est root sur l'Android, on peut aussi copier le certificat
directement dans le système en passant par <code>adb</code>. C'est la solution
que j'ai choisie.</p>
<p><a href="http://wiki.pcprobleemloos.nl/android/cacert">Installing CAcert certificates on Android as 'system' credentials without lockscreen - instructions</a></p>
<p>(En passant: j'ai un bug sur CyanogenMod qui m'enmpêche pour le moment
de modifier les paramètres de sécurité. Je suis donc passé par <code>adb</code>
pour autoriser l'installation de sources autres que Google avec la
commande: <code>adb shell settings put secure install_non_market_apps 1</code>.)</p>