Préparatifs pour l'importation d'un certificat TLS signé par une autorité de certification

Un certificat TLS signé par une autorité de certification (certificat AC) et prévu pour une importation dans Kaspersky Secure Mail Gateway doit remplir les conditions suivantes :

• Le fichier du certificat doit posséder un nom unique dans la liste des certificats utilisés par Kaspersky Secure Mail Gateway.
• Les fichiers du certificat serveur, des certificats AC intermédiaire et racine ainsi que le fichier de la clé privée doivent être au format PEM.
• La clé doit avoir une longueur de 1 024 bits minimum.
• Il doit contenir la chaîne de certification complète, le chemin depuis le certificat du serveur jusqu'au certificat AC racine.

  Lors de la réception du certificat AC, il faudra peut-être utilisé un certificat intermédiaire en plus du certificat de serveur.

• Les certificats doivent apparaître dans la chaîne dans l'ordre suivant : tout d'abord le certificat du serveur, puis les certificats AC intermédiaires.
• Les certificats intermédiaires ne peuvent pas être absents de la chaîne de certification.
• La chaîne de certification ne peut pas contenir de certificats qui ne sont pas liés à la certification actuelle.

L'exemple fourni illustre les préparatifs de l'importation d'un certificat TLS de serveur signé par une autorité de certification server_cert.pem, dont la clé privée se trouve dans le fichier key.pem. Le nom du certificat intermédiaire est intermediate CA, et le nom du certificat racine est CA.

Pour préparer un certificat TLS signé par une autorité de certification en vue de l'importation dans Kaspersky Secure Mail Gateway, procédez comme suit :

1. Dans le fichier du certificat TLS, supprimez le mot de passe d'accès au certificat, le cas échéant. Saisissez pour ce faire la commande :

   # openssl rsa -in <nom du fichier de clé privée>.pem -out <nom du fichier de clé privée après la suppression du mot de passe>.pem

   Par exemple, vous pouvez exécuter la commande suivante :

   # openssl rsa -in key.pem -out key-nopass.pem

2. Exécutez une des actions suivantes :
   • Si vous ne pensez pas que les clients auxquels le serveur va envoyer ce certificat possèdent leur copie des certificats AC racine et intermédiaires, unifiez la clé privée, le certificat de serveur, le certificat intermédiaire et le certificat AC racine dans un fichier. Saisissez pour ce faire la commande :

     % cat <nom du fichier de clé privée après la suppression du mot de passe>.pem <nom du certificat du serveur>.pem <nom du certificat AC intermédiaire>.pem <nom du certificat AC racine>.pem <nom du certificat TLS après l'unification des fichiers>.pem

     Par exemple, vous pouvez exécuter la commande suivante :

     % cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem

   • Si vous êtes certains que les clients auxquels le serveur va envoyer ce certificat possèdent leur copie des certificats AC racine et intermédiaires, unifiez la clé privée et le certificat de serveur dans un fichier. Saisissez pour ce faire la commande :

     % cat <nom du fichier de clé privée après la suppression du mot de passe>.pem <nom de certificat du serveur>.pem <nom du certificat de serveur après l'unification des fichiers>.pem

     Par exemple, vous pouvez exécuter la commande suivante :

     % cat key-nopass.pem server_cert.pem > cert.pem

Le certificat TLS, signé par une autorité de certification (par exemple, cert.pem) est prêt à être importé dans Kaspersky Secure Mail Gateway.

Voir également Utilisation du protocole TLS avec Kaspersky Secure Mail Gateway Création du certificat TLS Suppression du certificat TLS Préparation de l'importation du certificat TLS auto-signé Importation du certificat TLS depuis un fichier

Haut de page