Configurer le chiffrage SSL
Si vous souhaitez que les communications entre vos appareils MobileTogether Server et MobileTogether Client soient chiffrées à l'aide du protocole SSL, vous devrez :
•Générer une clé privée SSL et créer un fichier de certification de clé publique SSL
•Configurer MobileTogether Server pour la communication SSL.
Les étapes à suivre sont décrites ci-dessous.
MobileTogether utilise la boîte à outils OpenSSL open-source pour gérer le chiffrage SSL. Les étapes listées ci-dessous, doivent donc être effectuées sur un ordinateur sur lequel OpenSSL est disponible. Généralement, OpenSSL est pré-installé sur la plupart des distributions Linux. Il peut donc être installé sur les ordinateurs Windows. Pour télécharger des liens pour les binaires d'installation, voir le Wiki OpenSSL.
SSL exige qu'une clé privée soit installée sur MobileTogether Server. Cette clé privée sera utilisée pour chiffrer toutes les données envoyées aux applications MobileTogether Client.. Pour créer la clé privée, utilisez la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Ceci crée un fichier nommé private.key, qui contient votre clé privée. Veuillez noter où vous avez enregistré le fichier. Il vous faudra la clé privée pour : (i) générer la Requête de signature de certificat (CSR), voir l'étape 2 ci-dessous ; (ii) pour l'installation sur MobileTogether Server (voir l'étape 8 ci-dessous).
|
2.Requêtes de signature de certificat (CSR)
Une Requête de signature de certificat (CSR) est envoyée à l'Autorité de certification (AC), comme DigiCert ou Thawte, pour demander un certificat de clé public. La CSR est basée sur votre clé privée (obtenue à l'étape 1 ci-dessus) et contient des informations concernant votre entreprise. Créer une CSR avec la commande OpenSSL suivante (qui fournit, en tant que l'un de ses paramètres, le fichier de clé privée, private.key, qui a été créé à l'étape 1) : openssl req -new -nodes -key private.key -out my.csr
Pendant la génération de la CSR, vous devrez donner des informations sur votre organisation, comme celles indiquées ci-dessous. Cette information sera utilisée par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville dans laquelle se trouve l'entreprise) •Organisation (nom de votre entreprise). Ne pas utiliser de caractères spéciaux ; ils rendront votre certificat invalide •Nom commun (le nom DNS de votre serveur). Il doit correspondre exactement au nom officiel de votre serveur, à savoir, le nom DNS que les applis client utiliseront pour se connecter au serveur •Un mot de passe défiant. Laisser cette entrée vide !
|
Acheter un certificat SSL depuis une autorité de certification reconnue (AC), comme DigiCert ou Thawte. Pour le reste de ces instructions, nous suivons la procédure DigiCert. La procédure avec d'autres AC est semblable.
•Aller sur le site Internet DigiCert. •Acheter un certificat SSL. Plusieurs types de certificats SSL sont disponibles. Pour MobileTogether Server, les certificats Basic SSL ou Secure Site SSL sont suffisants. EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne voient pas de "barre d'adresse verte" dans MobileTogether Server. •Suivre le processus d'enregistrement et remplir les informations demandées pour passer votre commande. •Lorsque vous serez invité à saisir votre CSR (créé dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande. •Payer le certificat avec votre carte de crédit.
|
4.Recevoir une clé publique de l’AC
Votre autorité de certification achèvera le processus d'inscription dans les deux à trois jours ouvrables suivants. Pendant ce temps, vous recevrez éventuellement des e-mails ou des appels téléphoniques vous demandant de vérifier que vous êtes bien autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec les autorités pour achever le processus.
Une fois le processus d'autorisation et d'inscription complété, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. La clé publique sera en texte brut ou attachée en tant que fichier .pem ou .cer.
|
5.Enregistrer la clé publique dans le fichier
Pour une utilisation avec MobileTogether Server, la clé publique doit être sauvegardée dans un fichier .pem. Si la clé publique était fournie en tant que texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier texte que nous appellerons mycertificate.cer.
|
6.Enregistrer les certificats intermédiaires de l’AC dans le fichier
Pour terminer votre certificat SSL, il vous faudra deux certificats supplémentaires : les certificats intermédiaires primaires et secondaires. Votre autorité de certification (AC) recensera le contenu des certificats intermédiaires sur son site Web ou elle vous permettra de télécharger les certificats. Dans certains cas, il n'y aura qu'un certificat intermédiaire. Si vous avez une option concernant le format du fichier, choisissez le format .pem, qui est un format encodé Base64.
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés, puis les enregistrer sur votre ordinateur. Sinon, si vous ne disposez que d'un seul certificat intermédiaire, enregistrez-le dans un fichier unique.
|
7.Combiner les certificats dans un fichier de certificat à clé publique
Vous disposez désormais de trois fichiers de certificats :
•Clé publique (mycertificate.pem), créée à l'étape 5. •Certificat intermédiaire secondaire, obtenu à l'étape 6. •Certificat intermédiaire primaire, obtenu à l'étape 6.
Note : en alternative, vous n'aurez qu'un seul fichier de certificat intermédiaire.
Chaque fichier contient des blocs de texte délimités par des lignes comme dans l'exemple ci-dessous : --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
Maintenant, copier-coller les trois (ou les deux) certificats dans un fichier de manière à ce qu'ils forment une séquence. L'ordre de la séquence est important : (i) clé publique, (ii) certificat intermédiaire secondaire, (iii) certificat intermédiaire primaire. Assurez-vous qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- clé publique de mycertificate.pem (voir étape 5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire secondaire (voir étape 6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire primaire (voir étape 6) --END CERTIFICATE--
Enregistrer le texte du certificat combiné dans un fichier nommé publickey.pem. Il s'agit du fichier de certificat à clé publique de votre certificat SSL. Il comprend votre certificat de clé publique ainsi que la chaîne de confiance complète sous la forme du ou des certificats intermédiaires utilisés par l'AC pour signer votre certificat. Le fichier de certificat de clé publique sera installé sur MobileTogether Server avec la clé privée (voir étape 8).
|
8.Installer le certificat SSL sur MobileTogether Server
Le certificat SSL est un ensemble de certificats enregistrés dans les fichiers suivants :
•private.key : contient le certificat de clé privée •publickey.pem : contient le certificat de clé publique et les certificats intermédiaires de l'AC (voir l'étape 7)
Pour installer les certificats SSL sur MobileTogether Server, suivre les étapes suivantes :
•Se connecter à l'IU de MobileTogether Server (par défaut sur le port 8085 de votre serveur). •Aller à l'onglet Paramètres. •Sous Certificats SSL (voir capture d'écran ci-dessous), télécharger les deux fichiers de certificat. ![]() οPour la clé privée, choisir private.key (créée dans l'étape 1) οPour le certificat, choisir publickey.pem (créé dans l'étape 7)
•Cliquer Enregistrer au bas de la section des Paramètres généraux pour enregistrer vos modifications.
|
9.Configurer le port HTTP du serveur
Après avoir installé le certificat SSL, vous pouvez spécifier un port de serveur pour la communication SSL client. Pour ce faire, suivez les instructions suivantes :
•Se connecter à l'IU de MobileTogether Server (par défaut sur le port 8085 de votre serveur). •Aller à l'onglet Paramètres. •Sous Ports Client Mobiles (voir capture d'écran ci-dessous), activer et spécifier le port HTTPS. ![]() Assurez-vous que les pares-feu sont configurés pour permettre l'accès au MobileTogether Server par le port HTTPS.
|
10.Tester la communication SSL
Vous pouvez désormais utiliser un outil de test SSL quelconque pour vérifier si la communication sécurisée avec votre serveur via HTTPS fonctionne correctement. Cela vous permettra de savoir : (i) si le fichier de certificat de la clé publique a été construit correctement avec la chaîne de confiance intermédiaire de l'étape 7 et (ii) si votre serveur est accessible correctement via le pare-feu.
|
11.Activer les MobileTogether Client pour utiliser SSL
Dans les applis MobileTogether Client qui communiquent avec un MobileTogether Server compatible SSL, activer la communication SSL en cochant la case Cryptage SSL. Voir la documentation MobileTogether Client pour plus d'informations sur la manière de trouver cette case à cocher.
|