Réserver une Démo

SVP notez : Cette page d’aide n’est pas pour la dernière version d’Enterprise Architect. La dernière aide peut être trouvée ici.

Pré. Proc.

Utilisation de votre propre autorité de certification (CA)

En général, il est préférable d'utiliser un certificat qui a été signé par une autorité de certification (CA) racine de confiance mondiale. De nombreuses autorités de certification sont approuvées par tous les principaux navigateurs et systèmes d'exploitation et peuvent être utilisées pour signer des certificats à utiliser avec un serveur https.

Si l'architecture du système rend impossible l'utilisation d'une autorité de certification de confiance mondiale, il est toujours possible de configurer des navigateurs clients et des systèmes d'exploitation pour faire confiance à un certificat auto-signé et ainsi éviter les erreurs de sécurité ou afficher des avertissements aux utilisateurs finaux.

Une façon consiste simplement à ajouter le certificat au magasin de confiance du navigateur client ou du système d'exploitation ; cependant, cela devrait être fait pour chaque certificat généré. Une meilleure approche consiste à créer votre propre autorité de certification racine et à l'utiliser pour signer chaque certificat de serveur.

Pour ce faire, un certificat SSL doit être signé avec votre propre certificat et clé d'autorité de certification (CA), et les clients (navigateurs, systèmes d'exploitation) doivent être informés qu'ils doivent faire confiance au certificat CA. Les instructions pour ajouter une autorité de certification à un client varient selon le système d'exploitation ou le navigateur utilisé.

Créer une autorité de certification

Il existe de nombreuses façons de créer des certificats d'autorité de certification ; cependant, la boîte à outils OpenSSL est l'une des plus simples et des plus complètes. Comme son nom l'indique, OpenSSL est une boîte à outils open source pour SSL/TLS ; voir le site officiel pour plus de détails. Vous devrez télécharger et installer le produit OpenSSL adapté à votre environnement.

Pour créer une autorité de certification, suivez ces deux étapes :

  1. Générer une nouvelle demande de clé et de certificat.
  2. Auto-signer la demande pour générer un certificat CA.

1. Générer nouvelle demande de clé et de certificat

Cela peut être fait en plusieurs étapes, ou en générant à partir d'un fichier de clé existant, mais pour plus de simplicité, une nouvelle clé et une nouvelle demande peuvent être générées en une seule commande. Cet exemple montre comment créer une demande pour une entreprise nommée « Mon entreprise ». Remplacez-le par quelque chose de plus approprié pour votre organisation :

  • openssl req -new -sha256 -nodes -newkey rsa:4096 -subj " /O=Mon entreprise/CN=AC interne de mon entreprise" -keyout MyCompanyCA.key -out MyCompanyCA.csr

2. Auto-signer la demande pour générer un certificat CA

Cette étape auto-signe la demande de certificat de l'AC et rend l'AC valable 1 an (-jours 365). Modifiez 'MyCompany' pour qu'il corresponde à la clé et à la requête CSR générées à l'étape précédente :

  • openssl x509 -req -sha256 -in MyCompanyCA.csr -signkey MyCompanyCA.key -days 365 -out MyCompanyCA.crt

Créez un certificat de serveur et utilisez l'autorité de certification pour le signer

Maintenant que le MyCompanyCA.crt est généré, il peut être utilisé pour signer vos propres certificats pour un Serveur Cloud ou WebEA .

Tout d'abord, comme dans la rubrique d'aide Certificats SSL auto-signés , créez une nouvelle demande de certificat. Cet exemple crée une nouvelle demande de clé et de certificat pour un serveur nommé « cloud .mycompany.com » :

  • openssl req -new -nodes -newkey rsa:4096 -subj " /CN=cloud.mycompany.com" -keyout cloud .mycompany.com.key -out cloud .mycompany.com.csr
Signez la nouvelle demande de certificat auprès de l'autorité de certification :
  • openssl x509 -req -CA MyCompanyCA.crt -CAkey MyCompanyCA.key -CAcreateserial -sha256 -days 365 -in cloud .mycompany.com.csr -out cloud .mycompany.com.crt
La dernière étape à utiliser avec un Pro Cloud Server consiste à concaténer la clé et le certificat dans un fichier 'server.pem' :
  • Windows : copier /b cloud .mycompany.com.crt+cloud.mycompany.com.key server.pem
  • Linux : chat cloud .mycompany.com.crt cloud .mycompany.com.key > server.pem
Pour plus de détails sur la configuration du Pro Cloud Server pour utiliser ce certificat, reportez-vous à la rubrique Utilisation de HTTPS (SSL) .

Autoriser les clients à faire confiance à l'autorité de certification racine

Le système d'exploitation client ou la maintenant du navigateur doit avoir le certificat de l'autorité de certification ajouté à sa liste d'autorités de certification approuvées. Les instructions varient selon le système d'exploitation et le navigateur, mais les instructions pour quelques clients majeurs sont répertoriées ici. Pour toutes ces étapes, le « certificat » auquel il est fait référence est le « MyCompanyCA.crt » généré à l'étape 2.

Client (Système d'exploitation, Navigateur )

Instructions

Voir également

Microsoft Windows

Cliquez-droit le fichier du certificat CA et sélectionnez 'Install Certificate'. Suivez les prompts pour ajouter le certificat au magasin de confiance, soit pour l'utilisateur actuel uniquement, soit pour tous les utilisateurs de l'ordinateur.

Linux-Ubuntu

Copiez le certificat CA dans /usr/local/share/ca-certificates

Par exemple:

  • sudo cp ~/MyCompanyCA.crt /usr/local/share/ca-certificates/
Mettez à jour les certificats avec cette commande :
  • sudo mise à jour-ca-certificats
La sortie doit afficher quelque chose de similaire à 'Adding debian:~/MyCompanyCA.pem'.

Si vous utilisez Wine, fermez tous les programmes Wine et redémarrez Wine :

  • serveur de vin -k
Consultez l' aide d'Ubuntu pour plus d'informations.

Firefox

Firefox n'utilise pas le magasin de confiance des systèmes d'exploitation, l'autorité de certification doit donc être ajoutée manuellement.

Si le certificat a une extension '.pem', le moyen le plus simple est de glisser-déposer le fichier de certificat CA sur Firefox ; une prompt vous demandera de faire confiance au certificat.

Sinon, ajoutez manuellement des certificats et gérez les certificats ajoutés via les préférences Confidentialité et sécurité de Firefox.

Plus d'informations peuvent être trouvées sur le wiki de Firefox .

Chrome/Chrome

Chrome et Chromium n'utilisent pas le magasin de confiance du système d'exploitation, l'autorité de certification doit donc être ajoutée manuellement.

Ouvrez Paramètres> Avancé> Gérer les certificats> Autorités sélectionnez "Importer"

Internet Explorer

Internet Explorer utilise le magasin de confiance de Windows , donc l'ajout du certificat à Windows (voir la première entrée dans ce tableau ) est suffisant pour ajouter également la confiance au navigateur.

WebEA

WebEA utilise PHP/curl pour communiquer avec un modèle Pro Cloud . Si la connexion entre PHP et le Pro Cloud utilise HTTPS, l'autorité de certification peut être ajoutée à la configuration de PHP pour lui permettre de faire confiance au certificat.

Configuration de WebEA pour faire confiance à votre propre autorité de certification (CA)