Obtenir un certificat depuis la CA
Cette section décrit les étapes pour obtenir un certificat depuis une Autorité de Certificat (CA). Pour pouvoir activer le chiffrage SSL pour LicenseServer, il vous faudra les fichiers suivants :
•Fichier de clé privé : généré par vous-même, en utilisant : (i) une application qui peut déjà exister sur votre système d'exploitation (comme Keychain Access sur macOS ou OpenSSL sur Linux), ou (ii) des applications tiers (comme OpenSSL).
•Fichier de certificat : il s'agit de la clé privée qui est basée sur votre clé privée et que vous pouvez acquérir auprès d'une Autorité de Certificat (CA) comme VeriSign ou Thawte. Pour l'achat, il vous faudra : (i) la clé privée que vous avez générée, et (ii) une demande de signature de certificat (Certificate Signing Request - CSR), qui peut aussi être générée par votre application SSL.
•Fichier de Chaîne de Certificat (ou fichiers de Certificat Intermédiaire) : fournis par la CA avec le fichier de certificat de la clé publique.
Les étapes pour obtenir ces trois fichiers sont listées ci-dessous.
Puisque OpenSSL est généralement préinstallé sur la plupart des appareils de distributions Linux et macOS, et peuvent aussi être installés sur des ordinateurs Windows, les étapes regroupées ci-dessous sont expliquées avec les commandes OpenSSL. Pour télécharger des liens vers les binaires d'installateur Open SSL, voir le OpenSSL Wiki.
Étapes pour générer une clé privée et obtenir des certificats depuis une CA
SSL exige qu'une clé privée soit installée sur le serveur. Pour créer la clé privée, utiliser la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Cela crée un fichier appelé private.key, qui contient votre clé privée. Celle-ci doit se trouver dans un format PEM (Privacy Enhanced Mail). L'extension de fichier est généralement .pem, mais peut aussi être .key, .cert, .cer, ou .crt. La clé privée ne doit pas être protégée par un mot de passe. Enregistrer le fichier dans un endroit sûr et faites une note de son emplacement. (Voir la rubrique Private Key Requirements pour plus de détails). Vous aurez besoin de la clé privée pour générer la Certificate Signing Request (CSR) à l'étape suivante.
|
2.Générer une Certificate Signing Requests (CSR)
Une Certificate Signing Request (Demande de signature de certificat) (CSR) est envoyée à une Autorité de certification (CA) pour demander un certificat de clé publique. La CSR est basée sur votre clé privée et contient des informations concernant votre organisation. Créer une CSR avec la commande OpenSSL suivante (qui fournit le fichier de clé privée, private.key, qui a été créé dans l'Étape 1, en tant qu'un de ses paramètres) : openssl req -new -nodes -key private.key -out my.csr
Pendant la génération de la CSR, vous devrez donner des informations concernant votre organisation, comme celles indiquées ci-dessous. Ces informations seront utilisées par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville dans laquelle votre entreprise est située) •Organisation (nom de votre entreprise). Ne pas utiliser de caractères spéciaux ; ceux-ci invalideraient votre certificat •Nom commun (le nom DNS de votre serveur). Il doit correspondre exactement au nom de domaine entièrement qualifié (FQDN) de l'appareil hôte sur lequel le serveur fonctionne •Un mot de passe challenge. Ne pas remplir cette entrée !
|
Acheter un certificat SSL depuis une autorité de certification (CA) comme VeriSign ou Thawte. Pour le reste de ces instructions, nous suivrons la procédure VeriSign. La procédure avec d'autres CAs est semblable.
•Aller sur le site web VeriSign. •Cliquer sur Buy SSL Certificates. •Plusieurs types de certificats SSL sont disponibles. Pour LicenseServer, les certificats Secure Site ou Secure Site Pro sont suffisants. Une EV (vérification étendue) n'est pas nécessaire puisque les utilisateurs ne verront pas de "barre d'adresse verte". •Suivre le processus d'enregistrement et remplir les informations demandées pour compléter votre commande. •Lorsque vous passerez à la CSR (créée dans l'étape 2), copier-coller le contenu du fichier my.csr dans le formulaire de commande. •Payer pour le certificat avec votre carte de credit.
|
4.Recevoir une clé publique et des fichiers intermédiaires de la CA
Votre autorité de certification achèvera le processus d'enregistrement en deux ou trois jours ouvrables. Pendant ce temps, il se peut que vous receviez des appels téléphoniques ou des e-mails pour vérifier que vous êtes bien autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec l'autorité pour terminer le processus.
Une fois que le processus d'autorisation et d'enregistrement a été achevé, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. Celle-ci sera en texte clair ou jointe en tant que fichier .cer.
Vous recevrez également deux fichiers de certificats intermédiaires (primaire et secondaire), soit en tant que texte soit dans des fichiers. Dans certains cas, votre autorité de certification (CA) recensera le contenu des certificats intermédiaires sur son site web.
•Les certificats intermédiaires de Verisign : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Les certificats intermédiaires de Verisign pour son produit Secure Site : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés puis les enregistrer dans votre ordinateur.
|
5.Enregistrer la clé publique dans le fichier
Pour une utilisation avec LicenseServer, la clé publique doit être enregistrée dans un format PEM (Privacy Enhanced Mail). L'extension de fichier est généralement .pem, mais peut aussi être .key, .cert, .cer, ou .crt. Si la clé publique a été fournie sous forme de texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier texte que nous appellerons certificate.cer.
|
6.Enregistrer les certificats intermédiaires de la CA dans un seul fichier
Pour activer le chiffrage SSL pour LicenseServer, vous devez combiner les certificats intermédiaires primaires et secondaires en un seul fichier. Les fichiers intermédiaires ont été reçus de la CA (voir étape 4 ci-dessus).
Copier-coller les certificats intermédiaires en un fichier pour qu'ils forment une séquence. L'ordre de la séquence est important : (i) certificat intermédiaire secondaire, (ii) certificat intermédiaire primaire. S'assurer qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- secondary intermediate certificate --END CERTIFICATE-- --BEGIN CERTIFICATE-- primary intermediate certificate --END CERTIFICATE--
Enregistrer le texte de certificat combiné dans un fichier nommé intermediates.cer. (l'extension de fichier pout être : .pem, .key, .cert, .cer, ou .crt.) Ce fichier contient la chaîne de confiance complète dans le formulaire des certificats intermédiaires qui ont été utilisés par la CA pour signer votre certificat.
|
Fichiers de résultat
Une fois avoir effectué les étapes indiquées ci-dessus, vous devriez obtenir les fichiers suivants :
•Fichier de clé privée : nommé private.key dans les étapes ci-dessus (voir étape 1)
•Fichier de certificat : nommé certificate.cer dans les étapes ci-dessus (voir étapes 2 à 5)
•Fichiers de Chaîne de Certificat (ou fichiers de Certificat Intermédiaire): nommé intermediates.cer dans les étapes ci-dessus (voir étapes 4 et 6)
Enregistrer ces fichiers dans un emplacement approprié. Vous devrez saisir leurs chemins de fichier lorsque vous activez le chiffrage SSL dans les Paramètres UI Web de l'onglet Paramètres.