Réserver une Démo
Pré. Proc.

Utilisation de votre propre autorité de certification (CA)

En général, il est préférable d'utiliser un certificat signé par une autorité de certification racine (CA) de confiance mondiale. Il existe de nombreuses CA approuvées par tous les principaux navigateurs et systèmes d'exploitation et qui peuvent être utilisées pour signer des certificats à utiliser avec un serveur https.

Si l' architecture du système rend l'utilisation d'une autorité de certification de confiance mondiale peu pratique, il est toujours possible de configurer les navigateurs clients et les systèmes d'exploitation pour faire confiance à un certificat auto-signé et ainsi éviter les erreurs de sécurité ou afficher des avertissements aux utilisateurs finaux.

Une solution consiste à ajouter simplement le certificat au magasin de confiance du navigateur client ou du système d'exploitation. Toutefois, cette opération doit être effectuée pour chaque certificat généré. Une meilleure approche consiste à créer votre propre autorité de certification racine et à l'utiliser pour signer chaque certificat de serveur.

Pour ce faire, un certificat SSL doit être signé avec votre propre certificat et votre propre clé d'autorité de certification (CA), et les clients (navigateurs, systèmes d'exploitation) doivent être informés qu'ils doivent faire confiance au certificat CA. Les instructions pour ajouter une CA à un client varient en fonction du système d'exploitation ou du navigateur utilisé.

Créer une autorité de certification

Il existe de nombreuses façons de créer des certificats d'autorité de certification. Cependant, la boîte à outils OpenSSL est l'une des plus simples et des plus complètes. Comme son nom l'indique, OpenSSL est une boîte à outils open source pour SSL/TLS. Pour plus de détails, consultez le website officiel. Vous devrez télécharger et installer le produit OpenSSL adapté à votre environnement.

Pour créer une autorité de certification, suivez ces deux étapes :

  1. Générer une nouvelle demande de clé et de certificat.
  2. Auto-signez la demande pour générer un certificat CA.

1. Générer une nouvelle demande de clé et de certificat

Cela peut être fait en plusieurs étapes ou en générant à partir d'un fichier de clé existant, mais pour plus de simplicité, une nouvelle clé et une nouvelle demande peuvent être générées en une seule commande. Cet exemple montre comment créer une demande pour une entreprise nommée « Mon entreprise ». Modifiez-la en quelque chose de plus approprié pour votre organisation :

  • openssl req -new -sha256 -nodes -newkey rsa:4096 -subj " /O=Mon entreprise/CN=Autorité de certification interne de mon entreprise " -keyout MyCompanyCA.key -out MyCompanyCA.csr

2. Auto-signer la demande pour générer un certificat CA

Cette étape auto-signe la demande de certificat d'autorité de certification et rend l'autorité de certification valide pendant 1 an (365 jours). Modifiez « MyCompany » pour qu'il corresponde à la clé et à la demande CSR générées à l'étape précédente :

  • openssl x509 -req -sha256 -in MonEntrepriseCA.csr -signkey MonEntrepriseCA.key -days 365 -out MonEntrepriseCA.crt

Créez un certificat de serveur et utilisez l'autorité de certification pour le signer

Maintenant que MyCompanyCA.crt est généré, il peut être utilisé pour signer vos propres certificats pour un serveur Cloud ou WebEA .

Tout d'abord, comme dans la rubrique d'aide sur Certificats SSL auto-signés , créez une nouvelle demande de certificat. Cet exemple crée une nouvelle clé et une demande de certificat pour un serveur nommé « cloud .mycompany.com » :

  • openssl req -new -nodes -newkey rsa:4096 -subj " /CN=cloud.mycompany.com" -keyout cloud .mycompany.com.key -out cloud .mycompany.com.csr
Signez la nouvelle demande de certificat auprès de l'autorité de certification :
  • openssl x509 -req -CA MyCompanyCA.crt -CAkey MyCompanyCA.key -CAcreateserial -sha256 -days 365 -in cloud .mycompany.com.csr -out cloud .mycompany.com.crt
L'étape finale à utiliser avec un Pro Cloud Server consiste à concaténer la clé et le certificat dans un fichier « server.pem » :
  • Windows : copier /b cloud +cloud.mycompany.com.key server.pem
  • Linux : chat cloud .mycompany.com.crt cloud .mycompany.com.key > server.pem
Pour plus de détails sur la configuration du Pro Cloud Server pour utiliser ce certificat, reportez-vous à la rubrique Utilisation de HTTPS (SSL) .

Autoriser les clients à faire confiance à l'autorité de certification racine

Le système d'exploitation ou le navigateur client doit maintenant ajouter le certificat CA à sa liste d'autorités de certification approuvées. Les instructions varient selon le système d'exploitation et le navigateur, mais les instructions pour quelques clients majeurs sont répertoriées ici. Pour toutes ces étapes, le « certificat » auquel il est fait référence est le « MyCompanyCA.crt » généré à l'étape 2.

Client (Système d'exploitation, Navigateur )

Instructions

Voir aussi

Microsoft Windows

Cliquez-droit le fichier de certificat CA et sélectionnez « Installer le certificat ». Suivez les prompts pour ajouter le certificat au magasin de confiance, soit pour l'utilisateur actuel uniquement, soit pour tous les utilisateurs de l'ordinateur.

Linux-Ubuntu

Copiez le certificat CA dans /usr/local/share/ca-certificates

Par exemple:

  • sudo cp ~/MyCompanyCA.crt /usr/local/share/ca-certificates/
Mettez à jour les certificats avec cette commande :
  • sudo update-ca-certificats
La sortie devrait afficher quelque chose de similaire à « Ajout de debian:~/MyCompanyCA.pem ».

Si vous utilisez Wine, fermez tous les programmes Wine et redémarrez Wine :

  • serveur de vin -k
Consultez Ubuntu Help pour plus d’informations.

Firefox

Firefox n'utilise pas le magasin de confiance des systèmes d'exploitation, donc l'autorité de certification doit être ajoutée manuellement.

Si le certificat a une extension « .pem », le moyen le plus simple est de glisser-déposer le fichier de certificat CA sur Firefox ; une prompt vous demandera de faire confiance au certificat.

Sinon, ajoutez manuellement les certificats et gérez les certificats ajoutés via les préférences Confidentialité et sécurité de Firefox.

Plus d'informations peuvent être trouvées sur le Firefox wiki .

Chrome/Chrome

Chrome et Chromium n'utilisent pas le magasin de confiance du système d'exploitation. L'autorité de certification doit donc être ajoutée manuellement.

Ouvrez Paramètres > Avancé > Gérer les certificats > Autorités, sélectionnez « Importer »

Internet Explorer

Internet Explorer utilise le magasin de confiance Windows , donc l'ajout du certificat à Windows (voir la première entrée de ce tableau ) suffit également à ajouter la confiance au navigateur.

WebEA

WebEA utilise PHP/curl pour communiquer avec un modèle Pro Cloud . Si la connexion entre PHP et le Pro Cloud utilise HTTPS, l'autorité de certification peut être ajoutée à la configuration de PHP pour lui permettre de faire confiance au certificat.

 Configuration de WebEA pour faire confiance à votre propre autorité de certification (CA)
Pré. Proc.