Configurer le S/MIME
Le webmail de BlueMind supporte le S/MIME et permet ainsi aux utilisateurs de chiffrer et/ou de signer leurs messages. Cependant, BlueMind ne propose pas de solution de PKI, c'est à l'administrateur de la mettre en place et de fournir le ou les fichier(s) PKCS#12 pour chacun des utilisateurs amenés à l'utiliser.
Importer les autorités de certifications (CA) de confiance
Dans le standard S/MIME la confiance repose sur les autorités de certification. Ainsi, pour qu'un client S/MIME puisse considérer un certificat "end-user" comme étant de confiance, il faut que l'autorité de certification qui l'a généré soit considérée comme étant de confiance.
C'est le rôle de l'administrateur d'ajouter les certificats de CA dont il a besoin et dans lesquelles il a confiance. A minima il faut ajouter le certificat de celle utilisée en interne et qui a servi à générer les certificats de ses utilisateurs.
Via le CLI
Pour ajouter le certificat d'une CA, utiliser la commande :
# bm-cli certificate add-smime --domain=devenv.blue --ca=cacert.pem
Et pour lister les certificats de CA déjà ajoutés :
# bm-cli certificate list-smime --domain=devenv.blue
Via la console d'administration
Voir la page Gestion des domaines
Il n'est pas possible d'afficher la liste des certificats via la console d'administration
Gestion des listes de révocations (CRLs)
Lorsqu'un certificat de CA est importé, BlueMind vérifie si la propriété "X509v3 CRL Distribution Points" est présente. Cette propriété permet de préciser où trouver les listes de révocation liées à cette CA. Si le serveur BlueMind peut y avoir accès, les listes de révocations seront récupérées et le webmail vérifiera pour chacun des certificats s'il a été révoqué.
Activer le S/MIME pour un utilisateur
Attribuer le rôle
Pour qu'un utilisateur puisse chiffrer et/ou signer ses messages, le rôle adéquat doit lui être attribué.
Pour cela :
- Aller sur la page Annuaires > Entrées d'annuaire
- Sélectionner l'utilisateur ou le groupe souhaité
- Attribuer le rôle "Autoriser le S/MIME sur le webmail" :
- Enregistrer
Importer les certificats publics
Afin de faciliter les échanges de messages chiffrés, l'administrateur peut ajouter le ou les certificats publics aux informations des utilisateurs. Cela évite aux utilisateurs d'avoir à les importer lorsque Le certificat du destinataire est manquant.
Pour importer le ou les certificats publics d'un utilisateur :
- Aller sur la page Annuaires > Entrées d'annuaire
- Sélectionner l'utilisateur souhaité
- Aller sur l'onglet
Informations utilisateurs
- Cliquer sur
Ajouter plus de champs
puis surCertificat (PEM)
- Ajouter le certificat au format PEM
- Ajouter un certificat supplémentaire si nécessaire dans le champ qui apparaît automatiquement lors de la saisie du 1er certificat
- Enregistrer
Fournir les fichiers PKCS#12 aux utilisateurs
Envoyer à l'utilisateur son ou ses fichiers PKCS#12 - en fonction des propriétés des certificats et de ses besoins - afin qu'il les importe dans les préférences de sa Messagerie pour Activer le chiffrement S/MIME.
Les certificats peuvent avoir des propriétés différentes selon leur objectif. Un certificat peut servir soit pour le chiffrement, soit pour la signature, soit pour les deux.
En fonction du type de certificat, un utilisateur peut donc avoir plusieurs fichiers - par exemple un certificat pour chiffrer/déchiffrer et un certificat pour signer/vérifier numériquement ses e-mails.
L'adresse mail précisée dans le certificat doit correspondre à celle par défaut de l'utilisateur, sinon il ne pourra pas importer son certificat dans ses préférences. Dans le certificat l'adresse mail est recherchée dans la propriété subjectAltName
ou dans le champ emailAddress
du sujet.