Comment faire une demande d'Autorité de Certification et obtenir un certificat
Pour rappel, voici le processus de certification expliqué. Ce processus peut être effectué soit dans le module complémentaire Portecle que nous fournissons, soit avec un autre générateur disponible comme openssl, IIS, les sites en ligne ou les applications du fournisseur de CA.
Rappel - Processus de certification
Les certificats sont délivrés par les Autorités de Certification (CA). Il s’agit d’un processus en 3 étapes :
1) La génération d’une paire de clés ou clé privée au standard RSA 2048 bits : cette clé est utilisée pour générer une demande CA basée sur cette clé.
2) La demande de CA générée est transmise à l’Autorité de Certification. Elle contient toutes les informations nécessaires au fournisseur pour délivrer un certificat (nom du pays code à 2 lettres, nom complet de l’état ou de la province, nom de la localité, nom de l’organisation, par exemple, société, nom de l’unité d’organisation, par exemple, section, adresse email valide et nom commun (CN) par exemple. MonNomDomaine.com).
Le travail principal consiste à créer la demande en complétant un formulaire demandant toutes les informations énumérées ci-dessus.
3) L’autorité de certification vérifie les informations que vous avez transmises et renvoie le certificat, et éventuellement également les certificats intermédiaires nécessaires pour accéder à votre certificat. Le certificat contient également la réponse CA (la clé privée validée). Une fois que vous avez le certificat, la réponse CA, sa paire de clés (clé privée) et les certificats intermédiaires, ils doivent être importés dans le magasin de clés géré par TS2log.
Comment générer une CSR (Certificate Signing Request)
Dans ce tutoriel, nous allons apprendre à installer un certificat sur le serveur web TS2log afin de fournir aux utilisateurs la sécurité de HTTPS, du cryptage SSL 2048 et de la certification du nom de domaine.
Afin de recevoir un certificat SSL, nous vous recommandons de l’acheter auprès d’un fournisseur de confiance comme GoDaddy ou DigiCert.
Veuillez suivre cette procédure pour commander et installer votre SSL sur la passerelle/serveur TS2log.
Pour créer un CSR avec l’utilitaire DigiCert, suivez les étapes ci-dessous :
1) Sur votre serveur Windows, téléchargez et enregistrez l’exécutable Utilitaire de certificat DigiCert pour Windows (DigiCertUtil.exe).
2) Exécutez l’utilitaire de certificat DigiCert pour Windows (double-cliquez sur DigiCertUtil).
3) Dans l’utilitaire de certificat DigiCert pour Windows, cliquez sur SSL (verrou doré), puis sur Créer CSR.
4) Sur la page « Créer un CSR« , fournissez les informations suivantes ci-dessous, puis cliquez sur « Générer » :
Type de certificat : Sélectionnez SSL.
Nom commun : Saisissez le nom de domaine complet (FQDN) (par exemple, www.example.com).
Noms alternatifs du sujet : Si vous demandez un certificat multi-domaine (SAN), saisissez les SAN que vous souhaitez inclure, par exemple, www.example.com, www.example2.com et www.example3.net.
Organisation : Saisissez le nom légalement enregistré de votre entreprise (par exemple, YourCompany, Inc.).
Département : (Facultatif) Si vous le souhaitez, entrez le nom de votre département au sein de l’organisation ou vous pouvez simplement laisser la case vide.
Ville : Saisissez la ville où votre entreprise est légalement située.
État : Utilisez la liste déroulante pour sélectionner l’État dans lequel votre entreprise est légalement située.
Remarque : Si votre entreprise est située en dehors des États-Unis, vous pouvez saisir le nom approprié dans la case.
Pays : Utilisez la liste déroulante pour sélectionner le pays où votre entreprise est légalement située.
Taille de la clé : Dans la liste déroulante, sélectionnez 2048 (à moins que vous ayez une raison spécifique d’utiliser une longueur de bits plus grande).
Fournisseur : Dans la liste déroulante, sélectionnez « Fournisseur cryptographique Microsoft RSA SChannel » (sauf si vous disposez d’un fournisseur cryptographique spécifique).
5) Sur la page « Utilitaire de certificat DigiCert pour Windows© – Créer un CSR« , effectuez l’une des opérations suivantes puis cliquez sur « Fermer » :
Cliquez sur « Copier la CSR » : Cela copie le contenu du certificat dans le presse-papier. Utilisez cette option si vous êtes prêt à coller le CSR dans le formulaire de commande DigiCert.
Remarque :
Étant donné que l’utilitaire de certificat DigiCert ne stocke pas les CSR, nous vous recommandons de coller le CSR dans un éditeur de texte (tel que Notepad) lorsque vous utilisez cette option.
Si vous fermez la page CSR et écrasez accidentellement le contenu du presse-papier sans faire l’opération précédente, vous devrez générer un nouveau CSR.
Cliquez sur « Enregistrer dans un fichier » : cela enregistre le CSR en tant que fichier .txt sur Windows Server 2012. (Nous vous recommandons d’utiliser cette option.)
6) Utilisez un éditeur de texte (tel que Notepad) pour ouvrir le fichier. Ensuite copiez le texte entre les balises « —–BEGIN NEW CERTIFICATE REQUEST—– » et « —–END NEW CERTIFICATE REQUEST—– » et collez le tout dans le formulaire de commande DigiCert.
7) Après avoir reçu votre certificat SSL de DigiCert, vous pourrez utiliser l’utilitaire de certificat DigiCert pour Windows pour l’installer.
Comment générer ce dont j'ai besoin pour TS2log
- Ouvrez l’application DigiCert
- Cliquez sur SSL
- Importez votre SSL
Vous verrez maintenant le certificat que vous avez installé est mis en surbrillance :
En bas de l’interface graphique, vous verrez le bouton « Exporter le certificat », cliquez dessus :
Assurez-vous que « Oui, exporter la clé privée et le fichier .pfx » et « Inclure tous les certificats dans le chemin de certification si possible » sont cochés.
Ensuite, enregistrez le fichier dans le dossier avec les certificats que vous avez décompressés.
Vous DEVEZ UTILISER LE MOT DE PASSE ‘secret’.
Comment installer les certificats sur le serveur web TS2log
- Copiez le fichier décompressé qui contient maintenant les fichiers .pfk et .crt dans les fichiers de programme du serveur TS2log (x86)\TS2log\Clients\webserver
- Faites une copie du cert.jks
- À partir de l’Admin Tool TS2log « Web > HTTPS > Boîte à outils de certificat HTTPS > Fichier », ouvrez le fichier de magasin de clés « cert.jks ».
Le mot de passe est ‘secret’.
Supprimez la paire de clés d’importation d’outils jwts (vous la trouverez dans le dossier que vous venez de copier).
Lorsque vous serez invité à saisir le nom d’alias, cela doit être :
jwts et le mot de passe secret
Outils : Importez le certificat de confiance et importez le .crt que vous avez dans le dossier.
Fermez l’outil et assurez-vous que le cert.jks est enregistré avec le mot de passe ‘secret’.
À partir de l’Admin Tool TS2log « AdminTool > Web », redémarrez les services.
Vous avez maintenant terminé la procédure de certificat SSL.