Obtention de certificats SSL
Vous devez vous procurer un certificat dans les situations suivantes :
•Sécurisation de la connexion entre la console Web Avalanche et le serveur Web Avalanche. Cette étape est recommandée en temps normal et obligatoire pour Android Enterprise. Pour en savoir plus, reportez-vous à « Accès à la console Web sur une connexion HTTPS ».
•Sécurisation de la connexion entre Avalanche et le magasin de fichiers central. Cette étape est obligatoire si vous utilisez le magasin de fichiers central. Pour en savoir plus, reportez-vous à « Utilisation du magasin de fichiers central ».
•Sécurisation de la connexion entre les périphériques intelligents et le serveur de périphériques intelligents. Cette étape est obligatoire si vous connectez à Avalanche des périphériques Android ou iOS. Pour en savoir plus, reportez-vous à « Importation d'un certificat pour le serveur de périphériques intelligents ».
•Pour sécuriser la connexion entre les imprimantes et le serveur de périphériques d'impression. Cette étape est obligatoire pour la gestion des imprimantes. Pour en savoir plus, reportez-vous à « Profils de serveur de périphériques d'impression ».
•Sécurisation de la connexion entre les serveurs de contrôle à distance et les périphériques. Cette étape est obligatoire si vous utilisez le contrôle à distance. Pour en savoir plus, reportez-vous à « Utilisation du contrôle à distance ».
Lorsque vous utilisez un certificat pour sécuriser la connexion, il est fortement recommandé d'acheter un certificat auprès d'une autorité de certification tierce (comme DigiCert ou Verisign). L'utilisation d'une autorité de certification (CA) indique aux clients que les informations de votre serveur ont été vérifiées par une source de confiance et sont authentiques.
Si vous installez le serveur Web Avalanche, le serveur de périphériques intelligents ou le serveur de contrôle à distance sur des systèmes distincts, vous devez disposer soit d'un certificat avec caractère générique, soit d'un certificat pour chacun des systèmes où ces composants sont installés.
La première étape, pour générer un certificat, consiste à générer un fichier CSR (demande de signature de certificat). Le fichier CSR doit être généré par la machine à laquelle il est destiné. Le serveur pour lequel vous générez le fichier CSR doit être accessible pour l'autorité de certification (CA).
Ces instructions expliquent comment générer une demande de signature de certificat (CSR) avec Internet Information Services (IIS) Manager. Ivanti n'inclut pas IIS avec Avalanche et ne l'installe pas à votre place. Vous êtes responsable de toutes les licences associées. Si vous choisissez d'utiliser un autre outil, consultez le guide d'utilisation de cet outil pour savoir comment créer une demande de certificat.
Pour générer un fichier CSR avec IIS
1.Dans le menu Démarrer de Windows, ouvrez Internet Information Services (IIS) Manager.
2.Dans le volet Connexions, cliquez sur le serveur auquel le certificat est destiné.
3.Dans le volet central, double-cliquez sur Certificats de serveur.
4.Dans le volet Actions, cliquez sur Créer une demande de certificat.
La fenêtre de demande de certificat apparaît.
5.Entrez le nom de domaine entièrement qualifié (FDQN) du serveur et les informations requises concernant votre entreprise, puis cliquez sur Suivant.
6.Dans le menu déroulant Fournisseur de services de chiffrement, sélectionnez Fournisseur de services de chiffrement Microsoft RSAS Channel.
7.Dans le menu déroulant Longueur en bits, sélectionnez 2048.
8.Cliquez sur Suivant.
9.Spécifiez l'emplacement et le nom du fichier CSR.
10.Cliquez sur Terminer.
11.Ouvrez le fichier CSR dans un éditeur de texte.
12.Copiez le texte, y compris les balises de début et de fin.
13.Ouvrez un formulaire de commande pour l'autorité de certification (CA) que vous avez choisie.
14.Collez le texte du fichier CSR dans le formulaire de commande et passez votre commande.
Une fois le certificat généré, l'autorité de certification (CA) vous envoie par e-mail un fichier zip contenant le certificat demandé et les éventuels certificats supplémentaires pour ce chemin. Pour que vous puissiez utiliser le certificat dans Avalanche, il doit être au format PKCS #12 et inclure la clé privée.
Pour utiliser un certificat pour la console Avalanche, Remote Control ou le serveur de périphériques intelligents, vous devez choisir un certificat au format PKCS #12 incluant la clé privée. Même si l'autorité de certification (CA) vous a procuré un fichier .p12
, vous devez importer la clé privée dans ce fichier pour pouvoir utiliser ce dernier dans Avalanche.
Pour exporter un certificat au format PKCS #12
1.Dans le menu Démarrer de Windows, lancez Gérer les certificats d'ordinateur.
2.Cliquez avec le bouton droit sur le répertoire Personnel et sélectionnez Toutes les tâches > Importer.
L'assistant d'importation de certificat s'ouvre.
3.Cliquez sur Suivant.
4.Naviguez jusqu'aux fichiers .crt envoyés par l'autorité de certification (CA).
5.Ouvrez le fichier .crt contenant votre nom de domaine et cliquez sur Suivant.
6.Cliquez sur Suivant pour accepter l'emplacement du magasin de certificats.
7.Cliquez sur Terminer.
8.Dans la fenêtre Gérer les certificats d'ordinateur, cliquez sur le certificat avec le bouton droit et sélectionnez Toutes les tâches > Exporter.
L'assistant d'exportation de certificat s'ouvre.
9.Cliquez sur Suivant.
10.Sélectionnez Oui, exporter la clé privée et cliquez sur Suivant.
11.Sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX).
12.Cochez la case Inclure tous les certificats dans le chemin d'accès de certification, si possible.
13.Cliquez sur Suivant.
14.Entrez un mot de passe pour le certificat, confirmez-le, puis cliquez sur Suivant.
15.Spécifiez l'emplacement et le nom de fichier du certificat, puis cliquez sur Enregistrer.
16.Cliquez sur Terminer.
Le certificat peut désormais être utilisé dans Avalanche.
Pour en savoir plus sur l'implémentation des certificats, reportez-vous aux sections suivantes :
•Importation d'un certificat pour le serveur de périphériques intelligents
•Utilisation du magasin de fichiers central
•Accès à la console Web sur une connexion HTTPS
•Utilisation du contrôle à distance