Signer des certificats SSL avec une Autorité de Certification
Avant de pouvoir acheter des certificats SSL depuis une autorité de certification (CA) de confiance, il vous faudra une clé privée et une CSR (Certificate Signing Request). La clé privée doit être stockée de manière sûre et ne doit être communiquée à personne ; la CSR sera requise par l'autorité de certification pendant le processus de tri.
Vous pouvez créer la clé privée et la CSR en utilisant un outil qui peut déjà exister sur votre système d'exploitation (comme un Keychain Access sur Mac, openssl sur Linux), ou des outils tiers. Cet exemple permet l'utilisation de la boîte à outils OpenSSL (https://www.openssl.org/). Veuillez noter que OpenSSL est une bibliothèque de source ouverte, et peut nécessiter une compilation avant de pouvoir l'utiliser dans la ligne de commande. Les instructions de compilation et d'installation pour OpenSSL varient pour chaque système d'exploitation et vous les trouverez en dehors de l'étendue de cette documentation. Dans un appareil Linux et Mac, il est probable que OpenSSL soit déjà disponible ; sinon, vous pouvez l'installer ou le mettre à jour depuis la ligne de commande. Vous pouvez rapidement contrôler si OpenSSL est présent en saisissant la commande ci-dessous (elle affiche la version OpenSSL actuelle) :
openssl version |
Sur Windows, vous pouvez soit compiler les binaires depuis le code source OpenSSL officiel, ou, en alternative, télécharger une distribution binaire qui comprend OpenSSL, voir aussi https://www.openssl.org/community/binaries.html.
Pour obtenir un certificat SSL signé :
1.Créer la clé privée. La commande OpenSSL suivante génère une clé appelée flowforce.key de taille de 2048-bit (la force de chiffrage minimum normalement acceptée par une autorité de certification) :
openssl genrsa -out flowforce.key 2048 |
Note •La clé privée doit être dans le format PEM (Privacy Enhanced Mail). L'extension de fichier des fichiers PEM est généralement .pem mais il peut aussi être .key, .cert, .cer ou .crt. •Pour que la clé privée puisse être utilisable dans FlowForce, elle ne doit pas être protégée par un mot de passe, voir Exigences de clé privée.. •La clé privée doit être stockée de manière sûre. |
2.Crée une Requête de signature de Certificat (CSR) pour la clé privée générée plus tôt. Vous nécessiterez la CSR lorsque vous acheter votre certificat SSL, voir l'étape suivante. La commande OpenSSL suivante crée une CSR appelée myserver.csr pour la clé flowforce.key:
openssl req -new -nodes -key flowforce.key -out myserver.csr |
Lorsque vous y êtes invité, saisir des informations concernant votre entreprise, par exemple :
Country Name (2 letter code) [AU]: AT State or Province Name (full name) [Some-State]: . Locality Name (eg, city) []: Vienna Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Ltd Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: server.my.domain.com Email Address []: test@example.org |
Note •Concernant le champ Common Name, assurez-vous de saisir le FQDN (nom de domaine entièrement qualifié) de l'appareil hôte sur lequel FlowForce Server est exécuté. •Ne pas remplir le champ de mot de passe challenge lorsque vous êtes invité. |
3.Commander le certificat d'une autorité de certificat. Au cours du processus de commande, vous devrez fournir la CSR. Pour ce faire, ouvrir myserver.csr dans un éditeur de texte comme Notepad, copier son contenu dans le presse-papiers, puis le coller dans le formulaire de commande en ligne.
4.Une fois que l'autorité de certification valide votre entreprise, elle vous transmettra le certificat acquis et les certificats soit-disant "intermédiaires". Copier-coller le contenu de tous les certificats intermédiaires dans un fichier, comme indiqué dans Préparer des certificats intermédiaires.
Sommaire
Si vous avez suivi les étapes ci-dessus, vous devez maintenant disposer des certificats et clés suivants :
•flowforce.key - Cette clé privée accompagne le certificat utiliser par FlowForce.
•certificate.crt (l'extension de fichier peut varier) - C'est votre certificat acquis qui chiffre la connexion entre un navigateur et FlowForce Web Server, ou si la connexion entre une application de client qui connecte vers un service Web exposé par FlowForce Server.
•intermediate.pem - Ce fichier inclut tous les certificats intermédiaire que vous avez reçu depuis l'autorité de certificat.
Vous pouvez maintenant activer SSL pour FlowForce Server, FlowForce Web Server, et pour la connexion HTTP entre eux, comme affiché ci-dessous :
•Activer SSL pour FlowForce Web Server