Aller au contenu principal

Configurer le S/MIME

Le webmail de BlueMind supporte le S/MIME et permet ainsi aux utilisateurs de chiffrer et/ou de signer leurs messages. Cependant, BlueMind ne propose pas de solution de PKI, c'est à l'administrateur de la mettre en place et de fournir le ou les fichier(s) PKCS#12 pour chacun des utilisateurs amenés à l'utiliser.

Importer les autorités de certifications (CA) de confiance

Dans le standard S/MIME la confiance repose sur les autorités de certification. Ainsi, pour qu'un client S/MIME puisse considérer un certificat "end-user" comme étant de confiance, il faut que l'autorité de certification qui l'a généré soit considérée comme étant de confiance.

C'est le rôle de l'administrateur d'ajouter les certificats de CA dont il a besoin et dans lesquelles il a confiance. A minima il faut ajouter le certificat de celle utilisée en interne et qui a servi à générer les certificats de ses utilisateurs.

Via le CLI

Pour ajouter le certificat d'une CA, utiliser la commande :

# bm-cli certificate add-smime --domain=devenv.blue --ca=cacert.pem

Et pour lister les certificats de CA déjà ajoutés :

# bm-cli certificate list-smime --domain=devenv.blue

Via la console d'administration

Voir la page Gestion des domaines

remarque

Il n'est pas possible d'afficher la liste des certificats via la console d'administration

Gestion des listes de révocations (CRLs)

Lorsqu'un certificat de CA est importé, BlueMind vérifie si la propriété "X509v3 CRL Distribution Points" est présente. Cette propriété permet de préciser où trouver les listes de révocation liées à cette CA. Si le serveur BlueMind peut y avoir accès, les listes de révocations seront récupérées et le webmail vérifiera pour chacun des certificats s'il a été révoqué.

Activer le S/MIME pour un utilisateur

Attribuer le rôle

Pour qu'un utilisateur puisse chiffrer et/ou signer ses messages, le rôle adéquat doit lui être attribué.

Pour cela :

  • Aller sur la page Annuaires > Entrées d'annuaire
  • Sélectionner l'utilisateur ou le groupe souhaité
  • Attribuer le rôle "Autoriser le S/MIME sur le webmail" :
  • Enregistrer

Importer les certificats publics

Afin de faciliter les échanges de messages chiffrés, l'administrateur peut ajouter le ou les certificats publics aux informations des utilisateurs. Cela évite aux utilisateurs d'avoir à les importer lorsque Le certificat du destinataire est manquant.

Pour importer le ou les certificats publics d'un utilisateur :

  • Aller sur la page Annuaires > Entrées d'annuaire
  • Sélectionner l'utilisateur souhaité
  • Aller sur l'onglet Informations utilisateurs
  • Cliquer sur Ajouter plus de champs puis sur Certificat (PEM)
  • Ajouter le certificat au format PEM
  • Ajouter un certificat supplémentaire si nécessaire dans le champ qui apparaît automatiquement lors de la saisie du 1er certificat
  • Enregistrer

Fournir les fichiers PKCS#12 aux utilisateurs

Envoyer à l'utilisateur son ou ses fichiers PKCS#12 - en fonction des propriétés des certificats et de ses besoins - afin qu'il les importe dans les préférences de sa Messagerie pour Activer le chiffrement S/MIME.

type de certificat

Les certificats peuvent avoir des propriétés différentes selon leur objectif. Un certificat peut servir soit pour le chiffrement, soit pour la signature, soit pour les deux.
En fonction du type de certificat, un utilisateur peut donc avoir plusieurs fichiers - par exemple un certificat pour chiffrer/déchiffrer et un certificat pour signer/vérifier numériquement ses e-mails.

adresse mail

L'adresse mail précisée dans le certificat doit correspondre à celle par défaut de l'utilisateur, sinon il ne pourra pas importer son certificat dans ses préférences. Dans le certificat l'adresse mail est recherchée dans la propriété subjectAltName ou dans le champ emailAddress du sujet.

Pour aller plus loin

Consultez la documentation BlueMind en relation

Lisez les articles du Blog BlueMind en relation