# Générer un certificat :
sudo bash /usr/share/doc/exim4-base/examples/exim-gencert
[*] Creating a self signed SSL certificate for Exim!
    This may be sufficient to establish encrypted connections but for
    secure identification you need to buy a real certificate!

    Please enter the hostname of your MTA at the Common Name (CN) prompt!

*Can't load /root/.rnd into RNG*

Source : 
https://wiki.visionduweb.fr/index.php?title=Installer_un_serveur_mail#G.C3.A9n.C3.A9rer_un_certificat_pour_Exim


# Pour ne plus rencontrer l'erreur "Can't load /root/.rnd into RNG", éditer le 
script proposé par Exim pour générer le certificat :
sudo nano /usr/share/doc/exim4-base/examples/exim-gencert
*# Commenter la ligne suivante pourrait être suffisant ?*
RANDFILE = $HOME/.rnd


# Malgré cette erreur rencontrée avec le script de génération de certificat 
proposé par Exim, une clé privée RSA de 2048 bits sera bien générée.
# Le fichier /root/.rnd n'a pas besoin d'exister initialement car le fichier 
/usr/share/doc/exim4-base/examples/exim-gencert va le créer puisqu'il n'existe 
pas.
# Le fichier /root/.rnd existera effectivement par après :
-rw-------  1 root root  1024 juin   6 18:41 .rnd
# Il faudrait remonter ce manque de clarté au projet Exim, pour que le message 
d'erreur soit moins ambigu : non, le fichier n'existe pas, mais, oui, il va 
être créé.

# Le système d'exploitation fournit automatiquement ce fichier de hash en 
utilisant son propre RNG via /dev/urandom ou via des appels système tels que 
getentropy() ou CryptGenRandom().
# Le fichier .rnd est un résidu du temps où le système d'exploitation manquait 
d'un bon CSPRNG, peut-être lorsque le Linux /dev/urandom était considéré comme 
de mauvaise qualité et que /dev/random produisait des données trop lentement en 
raison de problématiques d'entropie. Ce n'est plus le cas à ce jour.
# S'appuyer entièrement sur un fichier de hash stocké dans votre homedir serait 
en fait moins sûr.


# Suite à ce message, j'ouvre une issue à but d'information, sur le bogue 
tracker de Exim.
# On me répondra que ce n'est pas un problème de Exim mais de Debian, qui 
fournit le script.
Source : https://bugs.exim.org/show_bug.cgi?id=2591
Source : 
https://salsa.debian.org/exim-team/exim4/-/blob/master/debian/exim-gencert


A suivre, pour vos avis, et, éventuelle maintenance à proposer ?

Répondre à