#1 Le 01/09/2013, à 00:42
- urustu
[Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Bonjour,
Je cherche à créer fichier PKCS#12 .pfx et à l'utiliser sous Thunderbird.
Sur le net, je trouve beaucoup d'informations autour d'Outlook mais très peu pour Thunderbird.
J'ai donc créé quelques fichiers par des commandes openssl mais les fichiers générés ne sont pas acceptés par Thunderbird.
Message de Thunderbird : "L'opération PKCS #12 a échoué pour des raisons inconnues."
Même échec avec des serveurs tels que Comodo et DG des Impôts bien que les certificats soient bien présent sous Firefox.
Alors je tourne en rond.
Dernière modification par urustu (Le 09/09/2013, à 22:19)
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#2 Le 01/09/2013, à 17:02
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Salut,
sudo apt-get install tinyca
Pour créer des AC (autorité de Certification, et certificat SSL serveur et client). C'est pour de l'auto-signé principalement et permet de comprendre le howto. Très utile par la suite si tu veux pousser le bouchon.
pkcs12 c'est un x509 client ( certificat ssl CLIENT ), permettant au client de s'authentifier.
au niveau commercial, tu peux l'avoir sous plusieurs dénominations
-1 support logiciel" : format fichier comme sous tinyca
-2 support usb : c'est la modélisation du périphérique usb, par le pkcs11, qui donne le pkcs12, l'identifiant, une classe d'objet x509 client. Le token est comme la passphrase d'export du pkcs12 en format fichier. Vu de loin, comme métaphore, c'est comme si tu avais un x509 client dans une clef usb. ex: certificat type RGS RPVA
-3 support carte à puce ; la même chose que 2/ mais sous un format carte à puce. La contrainte supplémentaire est d'avoir un lecteur de carte à puce, pour le(s) poste client(s).
-usage; Authentification Forte
a/ connexion forte
b/ chiffrement fort
c/ signature forte
...
-protocole
principalement en http et messagerie
DG des Impôts
si tu veux que ton x509 client soit reconnu publiquement, il faut que l'AC le soit, et donc l'acheter chez le marchand.
#3 Le 02/09/2013, à 19:37
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Merci Titouan pour ces explications.
J'ai créé mon certificat avec Tinyca mais au final j'obtiens toujours le même message sous Thunderbird.
Il me manque quelque chose.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#4 Le 03/09/2013, à 10:35
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
j'obtiens toujours le même message
et quel message ?!
#5 Le 03/09/2013, à 14:13
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Message de Thunderbird : "L'opération PKCS #12 a échoué pour des raisons inconnues."
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#6 Le 03/09/2013, à 15:43
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
j'arrive à reproduire ton erreur lorsque le pkcs12 est en chown root ou chmod insuffisant.
#7 Le 04/09/2013, à 19:41
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Je suis propriétaire des fichiers et j'ai mis les droits 777 : ça ne change rien. Toujours ce message.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#8 Le 05/09/2013, à 09:06
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
mouais, cela me paraissait un peu gros que tu n'avais pas testé.
If I export it as P12 with a password, the import works. If I export it as a P12 with no password, the import fails with the "unknown reasons" error.
Dernière modification par Titouan (Le 05/09/2013, à 09:06)
#9 Le 07/09/2013, à 07:15
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
J'avais mis un mot de passe. Mais même sans mot de passe j'ai le même message.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#10 Le 07/09/2013, à 20:18
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
peut-être une corruption du profile, base de données cert8.db, sous thunderbird.
Pense à sortir de thunderbird, à chaque fois, que tu fais les manips sur cert8.db
find ~/.thunderbird -iname "cert8.db" -exec ls -ls {} \;
176 -rw------- 1 toto toto 196608 août 30 20:07 /home/toto/.thunderbird/r7dhpw9v.default/cert8.db
et la renommer pour que thunderbird la recrée
mv /home/toto/.thunderbird/r7dhpw9v.default/cert8.db /home/toto/.thunderbird/r7dhpw9v.default/old_cert8.db
Cela agit surtout sur les certifs clients. Donc pas de soucis côté AC (autorité de Certification) et pas de gros changement côté certificats serveurs.
Pour revenir en arrière
cp -p /home/toto/.thunderbird/r7dhpw9v.default/old_cert8.db /home/toto/.thunderbird/r7dhpw9v.default/cert8.db
Sous firefox, tu peux avoir le même problème.
#11 Le 09/09/2013, à 22:18
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Merci beaucoup Titouan pour m'avoir accompagné à trouver la solution à mon problème.
Il suffisait de supprimer ce fichier cert8.db à la racine de mon profil Thunderbird.
J'ai pu importer toutes mes clefs PKCS#12.
RESOLU.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#12 Le 10/09/2013, à 10:50
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Bonjour Titouan,
Je reviens vers toi à propos de TinyCA2. Je n'ai pas réussi à utiliser ce certificat pour l'envoi de mes messages :
L'envoi du message a échoué.
Impossible de signer le message. Veuillez vérifier la validité et la confiance accordée aux certificats spécifiés dans les paramètres de ce compte.
Je n'ai pas ce message avec CAcert ni Comodo. J'avais remarqué que ce message apparaissait si je n'avais pas mis le Certificat Racine dans l'onglet Autorités.
Or pour TinyCA, je l'ai bien ajouté.
Connais-tu ce problème ?
Dernière modification par urustu (Le 10/09/2013, à 16:52)
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#13 Le 11/09/2013, à 09:58
- Pseudo supprimé
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Ce n'est pas un problème. Il s'agit du fonctionnement normal des AC, et du chaînage des certificats. L'utilisateur a toujours la possibilité d'accepter ou non une AC, en modulant le degré de confiance, et ainsi influencer sur tous les certifs issus de cette AC.
-> gestionnaire des certificats /autorité /modifier confiance.
idem aussi indirectement sur /gestionnaire des certificats /personnes.
dans ce cas, cela concerne le degré de confiance de l'équivalent de la clef publique (tata-cert.pem) d'une autre personne, pour une chiffrement fort.
chiffrement fort SMIME: toto-cert.p12 (onglet "vos certificats") + tata-cert.pem (onglet "personnes")
Tu as aussi l'OCSP, qui rentre en jeu pour la VALIDATION ( certificats/validation )
Par la suite, si tu disposes d'un serveur mail, tu peux avoir la connexion forte, en renseignant permit_tls_clientcerts (postfix). toto-cert.p12 est authentifié sur le serveur smtp, qui peut éventuellement lui donner une exclusivité d'accès ( analogie avec la méthode des clefs en ssh qui permet à l'admin une exclusivité de l'accès )
#14 Le 11/09/2013, à 13:19
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Merci Titouan pour ces explications.
Je trouve que le message n'est pas très explicite et j'imagine les utilisateurs lambda face à ce type de message.
Encore une question. J'ai trouvé un site (pour Windows) qui convertit les clé PGP au format PKCS#12 :
gpg -o XXXXXXX_private.p12 --export [key id] --export-format pkcs12 --cert
J'ai donc essayé mais voici le message que j'obtiens à l'import sous Thunderbird dans mes certificats :
Échec de décodage du fichier. Soit il n'est pas au format PKCS#12, soit il est corrompu, ou le mot de passe est incorrect.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne
#15 Le 11/09/2013, à 13:27
- urustu
Re : [Résolu] Créer un fichier PKCS#12 .pfx ou .p12 pour Thunderbird
Dans la foulée, je pose déjà mes prochaines questions.
Y a-t-il un moyen pour joindre à un message, tous les signatures enregistrées au format PKCS#12 (chez tous les AC) et celle d'une clé PGP ?
Thunderbird me signale que les 2 formats (S/MIME et PGP/MIME) sont incompatibles mais ce ne sont que des fichiers joints (du moins pour PGP) !
Ensuite, je souhaite savoir s'il est possible de définir le type de chiffrage en fonction du destinataire comme on le voit pour PGP qui selon le destinataire, le message sera chiffré ou pas.
HP Pavilion 17-e027sf | CPU AMD A4-5000 alias Kabini | Graphique Radeon HD 8330 | Wifi Realtek RTL8188EE > 3-boot > Ubuntu 18.04 LTS | Mint | Fedora
Samsung 300E7A nVidia Optimus > Mint
Hors ligne