Afin de sécuriser vos échanges confidentiels par messagerie électronique, vous avez la possibilité d’utiliser des certificats électroniques personnels. Un certificat correspond à une clef privée + une clef publique.
On distingue deux niveaux d’utilisation:
- la signature, qui permet d’assurer l’identification de l’expéditeur d’un message ;
- le chiffrement, qui permet d’assurer la confidentialité complète du message.
Pour la signature, le message est signé à l’aide de votre clef privée et votre destinataire peut directement le vérifier grâce à la clef publique jointe au message.
Pour le chiffrement, le message est totalement chiffré à l’aide de la clef publique du destinataire, il est alors totalement illisible, sauf par votre destinataire qui peut le déchiffrer à l’aide de sa clef privée. Dans ce cas, un échange de clef publique est nécessaire au préalable.
Après avoir obtenu un certificat personnel, vous devez impérativement mettre en lieu sûr votre certificat (les clefs privée et publique). Si vous perdez votre clef privée, vous n'aurez plus accès aux messages chiffrés et la DSIN ne pourra pas y remédier.
Obtenir un certificat personnel
Dans le cadre de RENATER, l’université utilise le service TERENA GEANT dont l’actuel titulaire est la société Sectigo. Ce service peut être amené à évoluer en fonction du titulaire, voire à être supprimé si le prochain titulaire ne le reconduit pas.
Ce service permet à chaque personnel de l’université d’obtenir en toute autonomie un certificat propre.
Pour cela, il faut se rendre sur le portail: https://cert-manager.com/customer/renater/idp/clientgeant
Faire une recherche avec le domaine (umontpellier.fr) ou le nom (Université de Montpellier) :
Puis sélectionner le choix proposé « Montpellier University« .
Saisissez ensuite vos identifiants de l’ENT :
Après authentification, compléter le formulaire avec les éléments indiqués ci-dessous:
- Certificate Profile: GEANT personal email signing and encryption
- Term: la durée de validité de votre certificat, par exemple 730 jours
- : Key Generation (sauf si vous possédez votre propre fichier CSR)
- Key Type: RSA-4096
- Password: un mot de passe complexe de protection de votre certificat
- Choose key protection algorithm : Secure AES256-SHA256 (valeur par défaut)
Après la lecture des conditions d’utilisation (EULA) et leurs acceptation, vous pouvez valider la demande en cliquant sur Submit.
La génération du certificat va alors débuter et vous obtiendrez à la fin un fichier certs.p12 qui contient votre clef publique et votre clef privée.
C’est ce fichier qu’il convient de sauvegarder dans un lieu sûr et dont il ne faut pas oublier le mot de passe de protection !
Utiliser un certificat personnel dans Zimbra
Une fois que vous êtes en possession d’un certificat personnel, vous pouvez l’utiliser avec un logiciel de messagerie compatible et notamment Zimbra.
L'utilisation d'un certificat personnel dans Zimbra implique que si vous transmettez vos identifiants de connexion, une personne pourra non seulement utiliser votre boîte de messagerie Zimbra mais également, signer des messages avec votre certificat !
Il est donc impératif de ne jamais donner ses identifiants de connexion.
Cliquez sur les images pour les agrandir.
En préambule, il est nécessaire d’activer la zimlet « Messagerie sécurisée ».
Pour cela, dans les Préférences de Zimbra, sélectionner « Zimlets« , puis cocher « Messagerie sécurisée« .
Enregistrer, recharger Zimbra comme proposé, puis retourner dans les Préférences et cliquer sur le nouveau menu « Messagerie sécurisée ».
Vous pouvez alors utiliser la partie « Glissez-déposez » ou « Rechercher le certificat » afin de spécifier le fichier de certificat personnel obtenu à l’étape précédente.
Saisir le mot de passe du certificat :
Si la procédure se déroule bien, Zimbra validera alors le certificat :
Vous pouvez choisir si vous souhaitez signez et/ou chiffrer (crypter) manuellement pour chaque mail (« Ne pas signer ni crypter ») ou bien si vous souhaitez signer, ou signer et crypter de manière systématique.
Ne pas oublier d’enregistrer les préférences après modification.
Signer un message
Lors de la rédaction d’un nouveau message, il est désormais possible de signer et/ou de chiffrer un email.
Afin de signer un message, il suffit de sélectionner « Signer » :
Si la messagerie de votre correspondant permet la vérification des certificats, votre message apparaîtra alors comme signé (authentifié).
Exemple dans Zimbra :
Chiffrer un message
Il est également possible de chiffrer totalement un message en sélectionnant « Signer et crypter ».
Vous devez posséder la clef publique du certificat de votre destinataire pour pouvoir chiffrer un message qui lui est destiné. Pour cela, deux alternatives:
- le destinataire utilise Zimbra avec la messagerie sécurisée activée, il vous a déjà envoyé un message signé comportant sa clef publique qui a alors été automatiquement ajoutée dans votre messagerie ;
- il vous transmet manuellement sa clef publique avant votre échange et vous l’intégrez dans votre carnet d’adresses.
Lorsque votre mail sera reçu, il apparaîtra comme signé ET chiffré. Exemple dans Zimbra :
