Vous devez vous procurer un certificat SSL dans les situations suivantes :
•Si vous disposez de périphériques Android ou iOS que vous souhaitez connecter à Avalanche, vous devez disposer d'un certificat SSL. La connexion de périphériques iOS nécessite également un certificat APNS pour périphérique iOS.
•Vous souhaitez sécuriser la connexion entre la console Avalanche (navigateur Web) et le serveur Web Avalanche. Cette étape est facultative. Si vous n'utilisez pas de certificat SSL pour le serveur Web, il se connecte au navigateur et aux périphériques via HTTP (Hypertext Transfer Protocol), qui n'est pas crypté.
•Vous souhaitez sécuriser la connexion entre le serveur de contrôle à distance Avalanche Remote Control et la visionneuse de contrôle à distant. Cette étape est facultative. La connexion entre le serveur et les périphériques est sécurisée automatiquement avec PSK, et ne nécessite aucun certificat SSL.
Lorsque vous utilisez Avalanche avec un certificat SSL pour sécuriser la connexion, il est fortement recommandé d'acheter un certificat auprès d'une autorité de certification tierce (comme Verisign). Si vous installez le serveur Web Avalanche, le serveur de périphériques intelligents ou le serveur de contrôle à distance sur des systèmes distincts, vous devez disposer soit d'un certificat avec caractère générique, soit d'un certificat pour chacun des systèmes où ces composants Avalanche sont installés.
Ces instructions expliquent comment manipuler les certificats avec OpenSSL. Ivanti n'inclut pas OpenSSL avec Avalanche. Vous trouverez les fichiers d'installation sur le site Web OpenSSL. Si vous souhaitez utiliser un autre outil, consultez le guide d'utilisation de cet outil pour connaître le processus de création d'une requête de certificat ou d'un certificat autosigné.
Reportez-vous aux sections suivantes pour en savoir plus sur la configuration de certificats SSL pour Avalanche :
Ces instructions expliquent comment générer une requête de signature de certificat (CSR) avec OpenSSL. Ivanti n'inclut pas OpenSSL avec Avalanche et ne l'installe pas à votre place. Vous trouverez une version d'OpenSSL fonctionnant sous Windows sur le site Web OpenSSL.
Ivanti vous recommande fortement d'utiliser un certificat signé par une autorité de certification (CA). L'utilisation d'une autorité de certification (CA) comme Verisign indique aux clients que les informations de votre serveur ont été vérifiées par une source de confiance et sont authentiques.
Ivanti vous recommande de sauvegarder tous les fichiers de certificat après l'implémentation de votre certificat.
Pour générer une clé privée pour le certificat :
1.Depuis une ligne de commande, naviguez jusqu'à :
[Répertoire d'installation d'OpenSSL]\bin
2.Utilisez la commande suivante :
openssl genrsa -des3 -out privateKey.key 2048
3.À l'invite Enter pass phrase for privateKey.key (Entrer une expression mot de passe pour privateKey.key), entrez l'expression mot de passe voulue. À l'invite, entrez de nouveau l'expression mot de passe. Vous pouvez utiliser l'expression mot de passe de votre choix mais pensez à la noter pour référence future.
Si un message s'affiche et signale « AVERTISSEMENT : Impossible d'ouvrir le fichier config. : /usr/local/ssl/openssl.cfg », vous devez définir l'emplacement du fichier de configuration. À l'invite de commande, entrez la commande suivante : set OPENSSL_CONF=[Répertoire d'installation d'OpenSSL]\bin\openssl.cfg
Si OpenSSL crée quand même le fichier privateKey.key, supprimez-le. Répétez ensuite les étapes 2 et 3.
5.Entrez toutes les informations demandées par les différentes invites. Dans la zone Nom commun, entrez le nom de domaine entièrement qualifié (FQDN) de l'ordinateur où vous prévoyez d'installer le certificat. Le nom de domaine que vous entrez doit être un nom dont votre entreprise est propriétaire. Ajoutez si nécessaire une entrée DNS pour résoudre cet ordinateur.
Voici un exemple de génération de fichier CSR :
Nom du pays (code sur 2 lettres) [GB]:US Nom de l'état ou de la province (nom complet) [État-quelconque]:Utah Nom de la ville (commune) [Newbury]:Midvale Nom de l'entreprise (organisation) [Ma société, SA]:Wavelink Corporation Nom de l'unité organisationnelle (section, par exemple) []:Ingénierie Nom commun (votre nom ou le nom d'hôte du serveur) []:avaself.wavelink.com Adresse e-mail []:[email protected] Entrez les attributs 'en extra' suivants pour les envoyer avec votre requête de certificat. Mot de passe de challenge []: avalanche Nom de société facultatif []: Wavelink Corporation
Étapes suivantes
Lorsque vous postulez auprès d'une autorité de certification (CA) pour un certificat SSL de serveur Web, vous devez soumettre le fichier CACert.csr généré par ce processus.
Après avoir récupéré le certificat auprès de l'autorité de certification (CA), importez la clé privée dans le fichier de certificat et exportez ce dernier sous forme de fichier PKCS #12.
Pour que vous puissiez utiliser un certificat SSL dans la console Avalanche, Remote Control ou le serveur de périphériques intelligents, ce certificat doit être au format PKCS #12 et inclure la clé privée. Même si l'autorité de certification (CA) vous a procuré un fichier .p12, vous devez importer la clé privée dans le fichier .p12 pour pouvoir utiliser ce dernier dans Avalanche.
Pour exporter un certificat au format PKCS #12 :
1.Depuis une ligne de commande, naviguez jusqu'à :
Où privateKey.key est le nom de la clé que vous avez créée (avant la création de la requête de signature de certificat (CSR) ou lors de la génération du certificat autosigné), et où ca.pem est le nom du certificat que vous convertissez.
Si vous avez soumis une requête de signature de certificat (CSR) à une autorité de certification et qu'elle vous renvoie la chaîne de certificat séparément du certificat, ajoutez la mention -certfile intcert.crt à la fin de la commande, intcert.crt étant le nom du certificat intermédiaire.
3.Entrez l'expression mot de passe associée à la clé privée. Les certificats autosignés créés à l'aide de la commande indiquée à la section « Création d'un certificat autosigné » ne demandent pas d'expression mot de passe.
4.Entrez le mot de passe d'exportation. Confirmez le mot de passe d'exportation en le saisissant à nouveau.
Le fichier PKCS #12 est créé dans le répertoire d'installation d'OpenSSL.
Après avoir obtenu un certificat SSL, importez-le dans Avalanche à l'aide de la console pour que le serveur de périphériques intelligents puisse l'utiliser.
Le certificat doit être au format PKCS #12. Si le certificat est dans un autre format, convertissez-le d'abord au format PKCS #12.
Pour terminer la configuration :
1.Dans la console Avalanche, naviguez vers Outils > Paramètres système.
2.Dans la section Configuration HTTPS, cliquez sur Ajouter.
3.Repérez le fichier certificate.p12 et cliquez sur Ouvrir.
4.Entrez l'expression mot de passe associée au certificat. Une fois l'expression mot de passe saisie correctement, le nom commun s'affiche dans le champ Adresse publique SDS.
5.Si le certificat est de type caractère générique (il utilise un astérisque (*) dans le nom commun), entrez l'adresse du serveur dans le champ Adresse publique SDS.
6.Cliquez sur Enregistrer dans l'angle supérieur droit de la page.
7.Exécutez un déploiement depuis Mon entreprise.
Une fois que vous avez configuré le certificat APNS, la clé GCM et le certificat SSL, les communications entre les périphériques intelligents et le serveur de périphériques intelligents sont activées, et vous pouvez inscrire des périphériques. Vous devez importer vos licences avant toute tentative de connexion d'un périphérique. Pour en savoir plus sur les licences, reportez-vous à « Licences ». Pour en savoir plus sur la connexion des périphériques, reportez-vous à « Connexion de périphériques au serveur Avalanche ».
Une fois que vous disposez d'un certificat PKCS #12, vous pouvez configurer le serveur Web Avalanche, Tomcat, afin d'utiliser un trafic crypté entre la console et le serveur Avalanche. Vous devez pour cela modifier le fichier server.xml, puis redémarrer le serveur Tomcat.
Où la valeur keystoreFile est le chemin du certificat et où la valeur keystorePass est le mot de passe entré lors de la création du certificat. Dans le chemin du certificat, utilisez des barres obliques.
5.Enregistrez les changements apportés à ce fichier.
6.Redémarrez le service Tomcat.
Après avoir généré un certificat, activé SSL pour Tomcat et redémarré le serveur Tomcat, vous pouvez accéder à la console Web sur une connexion HTTPS.
Pour accéder à la console Web sur une connexion sécurisée :
•Dans le champ d'adresse de votre navigateur, entrez ce qui suit :
https://[Nom DNS ou adresse IP d'Avalanche]:8443/AvalancheWeb
Si vous choisissez d'utiliser des certificats autosignés afin de créer un environnement de démonstration, reportez-vous à « Création d'un certificat autosigné » pour en savoir plus sur les certificats autosignés. Ivanti vous recommande fortement d'utiliser un certificat signé par une autorité de certification (CA) pour votre environnement de production.
Création d'une requête de certificat pour une autorité de certification (CA)