Aller au contenu principal

Configurer le S/MIME

Le webmail de BlueMind supporte le S/MIME et nécessite de fournir un fichier PKCS#12 pour chacun des utilisateurs amenés à l'utiliser.
Cependant, BlueMind ne propose pas de solution de PKI, c'est à l'administrateur de la mettre en place et la maintenir dans l'organisation.

Importer les autorités de certifications (CA) de confiance

Dans le standard S/MIME la confiance repose sur les autorités de certification. Ainsi, pour qu'un client S/MIME puisse considérer un certificat "end-user" comme étant de confiance, il faut que l'autorité de certification qui l'a généré soit considérée comme étant de confiance.

C'est le rôle de l'administrateur d'ajouter les certificats de CA dont il a besoin et dans lesquelles il a confiance. A minima il faut ajouter le certificat de celle utilisée en interne et qui a servi à générer les certificats de ses utilisateurs.

Via le CLI

Pour ajouter le certificat d'une CA, utiliser la commande :

# bm-cli certificate add-smime --domain=devenv.blue --ca=cacert.pem

Et pour lister les certificats de CA déjà ajoutés :

# bm-cli certificate list-smime --domain=devenv.blue

Via la console d'administration

Voir la page Gestion des domaines

remarque

Il n'est pas possible d'afficher la liste des certificats via la console d'administration

Gestion des listes de révocations (CRLs)

Lorsqu'un certificat de CA est importé, BlueMind vérifie si la propriété "X509v3 CRL Distribution Points" est présente. Cette propriété permet de préciser où trouver les listes de révocation liées à cette CA. Si le serveur BlueMind peut y avoir accès, les listes de révocations seront récupérées et le webmail vérifiera pour chacun des certificats s'il a été révoqué.

Activer le S/MIME pour les utilisateurs

Attribuer le rôle

Pour qu'un utilisateur puisse chiffrer et/ou signer ses messages, le rôle adéquate doit lui être attribué.

Pour cela :

  • Aller sur la page Annuaires > Entrées d'annuaire
  • Sélectionner l'utilisateur ou le groupe souhaité
  • Attribuer le rôle "Autoriser le S/MIME sur le webmail" :
  • Enregistrer

Fournir les fichiers PKCS#12 aux utilisateurs

Chacun de vos utilisateurs souhaitant utiliser le S/MIME dans leur webmail devra importer un fichier PKCS#12

Attention, l'adresse mail précisée dans le certificat doit correspondre à celle par défaut de l'utilisateur, sinon il ne pourra pas importer son certificat dans ses préférences. Dans le certificat l'adresse mail est recherchée dans la propriété subjectAltName ou dans le champ emailAddress du sujet.

Pour aller plus loin

Consultez la documentation BlueMind en relation

Dernière mise à jour le