Accès à un annuaire LDAP de certificats

yoann.thery · Message par **yoann.thery** » 06 févr. 2009, 15:07

Bonjour,

Dans mon entreprise, nous disposons bien entendu d'une architecture exchange/outlook.
Une partie de nos client fonctionnent sous Linux et utilisent Thunderbird comme messagerie.
Nous possédonc une PKI (ou IGC) permettant, entre autre de chiffrer des mails.

Seulement il est apparemment impossible d'avoir accès aux certificats des contacts via un annuaire LDAP consultable par Thunderbird (qui m'apporte sinon, toutes les informations souhaitées).
Je ne peux "que" importer le certificat de mon destinataire à la main dans le magasin Thunderbird via un annuaire LDAP et pas chiffrer directement via l'annuaire LDAP (comme on peut le faire grâce à la GAL Exchange).

Malgré des vraies recherches, je n'ai pas pu trouver de solution satisfaisante. Le module Card Viewer extended permet apparemment de faire ceci, mais je n'y suis absolument pas parvenu. ( https://addons.mozilla.org/fr/thunderbird/addon/5224 )

Quelqu'un aurait une solution /piste à explorer ?

Message envoyé avec : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; InfoPath.2)

Invité · Message par **Invité** » 19 févr. 2009, 14:27

Personne ?

Message envoyé avec : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; InfoPath.2)

Message par **J2m06** » 19 févr. 2009, 14:42

bonjour

Anonymous a écrit :Personne ?

tu vas être déçu en lisant ma réponse

Je pense que très peu utilise le cryptage (tout au moins sur ce forum

)
J'ai fait des essais de cryptage avec Enigmail+OpenGPG et S/MIME (pas très concluant surtout avec S/MIME

)
Entre autre un souci de reconnaissance de certificats (gratuits) générés par Thwate et/ou PHPki

Ce n'est pas la faute de TB je pense mais des certificats gratuits, qui sont d'ailleurs très bien acceptés par OE

Donc perso je ne pourrais pas t'aider

J2m06 a écrit :┌─────────────────────────────────────────────────────────────────────────┐
.... Besoin d'aide ? (FAQ TB) -> pour: Importer/Exporter/Retrouver/Déplacer/Sauvegarder/Extraire/etc....
└─────────────────────────────────────────────────────────────────────────┘
Pour tout ce qui concerne l'agenda, seul ou intégré, pensez à consulter le forum Lightning/Sunbird ici <────

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 ImageShackToolbar/5.0.0

Jacques-64 · Message par **Jacques-64** » 19 févr. 2009, 19:39

Bonsoir,

Contrairement à J2m06, j'ai eu plus de succès avec certificat en s-Mime (plus simple à gérer avec les correspondants équipés MS).

Pour ce qui est du fonctionnement LDAP, je n'ai pas réussi à en installer un qui fonctionne sur mon PC et encore moins de voir où il faut le paramétrer dans TB (contrairement à OE où c'est intuitif).

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Message par **J2m06** » 20 févr. 2009, 13:39

bonjour

Jacques-64 a écrit :Contrairement à J2m06, j'ai eu plus de succès avec certificat en s-Mime

pour infos: tu avais des certificats gratuits (thwate

PHPki

)

ou autres

Comment TB a-t-il accepté ces certificats

plus simple à gérer ....

entièrement d'accord

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 ImageShackToolbar/5.0.0

Jacques-64 · Message par **Jacques-64** » 21 févr. 2009, 09:40

Bonjour,

En général, j'utilise des certificats OpenSSL (mon usage principal de la crypto étant pour passer d'un ordinateur à l'autre des fichiers qui sont considérés comme viraux par les AV en ligne ou, au contraire que je veux analyser dans un autre environnement).
Dans ce cas, je suis ma propre autorité de certification (et donc un certificat à importer en plus sur le logiciel client).

Autrement, j'ai un certificat Thawte sur une de mes boites. A part la difficulté que certains peuvent rencontrer avec un site très partiellement en français, pas eu de problème même si la procédure est un peu complexe :
- s'inscrire (une fois)
- recevoir le mail de validation de cette inscription
- finir l'inscription
- générer un certificat
- venir le chercher avec LE MÊME navigateur
- l'exporter de FF
- l'importer dans TB
- diffuser le certificat public (en envoyant un message signé).

(- importer ce certificat chez le correspondant)

Ensuite, tout roule

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Message par **J2m06** » 21 févr. 2009, 14:08

Bonjour

Jacques-64 a écrit :- diffuser le certificat public (en envoyant un message signé).

c'est là que ça pêche

Tb refuse de reconnaitre le certificat de Thwate (et de PHPki) me demandant de vérifier la validité de l'émetteur

et/ ou la date

Par contre pas de problème si je signe avec le certificat communiqué par les impôts

Mais avec le certificat des impôts pas de cryptage possible

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 ImageShackToolbar/5.0.0

Jacques-64 · Message par **Jacques-64** » 21 févr. 2009, 19:30

Bonsoir,

D'accord, le test que j'ai effectué est avec TB 3 ß 1

mais je n'ai eu aucun problème (je l'utilise en virtual PC sur une autre boite donc pas d'interférence possible avec mon TB d'exploitation).
Pas eu de problème non plus pour récupérer sous OE. La grande différence est qu'OE autorise l'envoi d'un mail crypté si on n'a pas de certificat privé alors que TB refuse (ce qui est logique puisque l'on ne pourrait pas relire).

Donc pour résumer : boite jacques AT laposte envoie un message signé à jacques AT tele2 qui possède un certificat permettant de répondre crypté et signé.
A partir de cet instant, la communication sécurisée peut fonctionner entre les 2.

Seule chose à noter : dans les mises à jour Win Update, j'ajoute systématiquement les mises à jour de certificats racine quand il y en a. J'ignore si cela ne sert que pour les outils MS ou si TB en profite.

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Jacques-64 · Message par **Jacques-64** » 21 févr. 2009, 19:34

Additif à mes messages précédents : j'ai oublié de mentionner que pour utiliser les certificats dans TB, il faut aller dans la configuration du compte et dire quel certificat utiliser.

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Invité · Message par **Invité** » 23 févr. 2009, 14:26

Bonjour
Jacques-64 a écrit:
- diffuser le certificat public (en envoyant un message signé).

c'est là que ça pêche Tb refuse de reconnaitre le certificat de Thwate (et de PHPki) me demandant de vérifier la validité de l'émetteur et/ ou la date

Intégrer l'AC concernée ?

Enfin snif Linnux ne répond pour une fois pas à mes espérances

Message envoyé avec : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; InfoPath.2)

Jacques-64 · Message par **Jacques-64** » 23 févr. 2009, 14:51

Bonjour,

Donc pour résumer ce que j'ai compris : après avoir reçu dans FireFox un certificat, impossible de venir au bout de la séquence
- l'exporter (sur le disque)
- l'importer dans TB
- modifier la config de compte pour utiliser ce certificat en signature et cryptage
- envoyer un message signé

Ensuite, cela dépend des correspondants

Ai-je bien compris

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Message par **J2m06** » 23 févr. 2009, 15:16

bonjour

Jacques-64 a écrit :Donc pour résumer ce que j'ai compris : après avoir reçu dans FireFox un certificat, impossible de venir au bout de la séquence
- l'exporter (sur le disque)
- l'importer dans TB
- modifier la config de compte pour utiliser ce certificat en signature et cryptage

jusque là pas de pb

- envoyer un message signé

là par contre TB 2 refuse le certificat de Thwate(ou PHPki ) , alors qu'avec OE pas de soucis.
Mais avec le certificat des impots TB accepte un envoi signé

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 ImageShackToolbar/5.0.0

Jacques-64 · Message par **Jacques-64** » 23 févr. 2009, 15:46

Bonjour,

Mon certificat est émis par "Thawte Personnal Freemail Issuing CA" que je retrouve bien le conteneur "Autorités".
Émis le 17/07/2003 valide jusqu'en 2013 version 3 numéro de série 0D.

J'ignore si cette CA fait partie du jeu de base TB, si elle a été installée par une mise à jour ou si elle a été importée en même temps que mon certificat.
Pour être complet : TB 2.0.0.19. (l'import a aussi très bien fonctionné avec 3.0 ß 1)

[Edit] La 3.0ß1 est la version sur mon virtual PC qui me sert pour tester le correspondant lointain)
A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Geckozone

Accès à un annuaire LDAP de certificats

Accès à un annuaire LDAP de certificats

Qui est en ligne ?