# [ssl] faire accepter les certificats tls à kmail

## 22decembre

Bonjour

Dans la continuité de la creation (enfin) de mon serveur courriel (ça fait 4 ans que je galère, j'ai donc acheté un bouquin et tout bien fait en une semaine), j'ai fait une authentification avec tls pour les cas où je suis en dehors de mon réseau.

Seulement, kmail me dit tout le temps que ces certificats sont pas authentifiés (logique : c'est les miens, auto-signés) et me demande si je veux les accepter "pour toujours"... à chaque fois !

J'ai copié mon certificat perso dans /etc/ssl/certs/ sur mon portable, mais non ! Comment faire ?

----------

## mp342

Je n'utilise pas kmail mais généralement, ce que tu acceptes, c'est une autorité de certification.

Tu devrais t'en créé une, avec les scripts d'openssl, ça ne prend que quelques minutes et c'est plus sur/facile par la suite. Si tu perds ton certificat, tu as juste a le révoqué et en faire un nouveau sans être obligé de tout recommencer du coté des clients et des serveurs.

edit: d'ailleurs, /etc/ssl/certs contient les autorités que tu acceptes.

----------

## 22decembre

Y a des tutos qui décrivent l'ensemble du processus ? Je crois que je vois le shéma d'ensemble, mais je connais pas le détail.

----------

## mp342

J'ai ça mais en anglais :

http://www.debian-administration.org/articles/618

A la fin, il parle de tinyca (app-crypt/tinyca) qui permet de facilement gérer une CA perso mais je ne l'ai jamais testé.

----------

## guilc

Si tu veux un minimum ouvrir ton serveur mail à l'extérieur en SSL sans faire du warning de partout : http://www.startssl.com/

Tu peux avoir des certificats gratuits (les plus simples), et startssl est reconnue par défaut dans les navigateurs, clients mail, etc... à quelques rares exceptions près.

Il y a bien aussi ca-cert qui fournit des certificats gratuits (gentoo les utilise d'auilleurs), MAIS, l'AC de ca-cert n'est pas reconnue : il lui faudrait un audit de sécurité de la structure, ce qui lui coute trop cher...

----------

