Configurer le cryptage SSL
Si vous souhaitez crypter vos transferts de données RaptorXML+XBRL Server à l'aide du protocole SSL, vous devrez :
•Générer une clé privée SSL et créer un fichier de certification de clé publique SSL
•Configurer RaptorXML+XBRL Server pour la communication SSL.
Les étapes à suivre sont décrites ci-dessous.
Cette méthode utilise la boîte à outils OpenSSL pour gérer le chiffrage SSL. Les étapes listées ci-dessous, doivent donc être effectuées sur un ordinateur sur lequel OpenSSL est disponible. Généralement, OpenSSL est pré-installé sur la plupart des distributions Linux. Il peut donc être installé sur les ordinateurs Windows. Pour télécharger des liens pour les binaires d'installation, voir le Wiki OpenSSL.
Pour générer une clé privée et obtenir un certificat auprès d'une autorité de certification, procédez comme suit :
SSL exige qu'une clé privée soit installée sur RaptorXML+XBRL Server. Cette clé privée sera utilisée pour chiffrer toutes les données RaptorXML+XBRL Server. Pour créer la clé privée, utilisez la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Ceci crée un fichier nommé private.key, qui contient votre clé privée. Veuillez noter où vous avez enregistré le fichier. Il vous faudra la clé privée pour (i) générer la Certificate Signing Request (CSR), et (ii) l'installer sur RaptorXML+XBRL Server.
|
2.Requêtes de signature de certificat (CSR)
Une Requête de signature de certificat (Certificate Signing Request) (CSR) est envoyée à l'Autorité de certification (CA), comme VeriSign ou Thawte, pour demander un certificat de clé public. La CSR est basée sur votre clé privée et contient des informations concernant votre organisation. Créer une CSR avec la commande OpenSSL suivante (qui fournit le fichier de clé privée, private.key, qui a été créé dans l'étape 1, en tant que l'un de ces paramètres) : openssl req -new -nodes -key private.key -out my.csr
Pendant la génération de la CSR, vous devrez donner des informations sur votre organisation, comme celles indiquées ci-dessous. Cette information sera utilisée par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville dans laquelle se trouve l'entreprise) •Organisation (nom de votre entreprise). Ne pas utiliser de caractères spéciaux ; ils rendront votre certificat invalide •Nom commun (le nom DNS de votre serveur). Il doit correspondre exactement au nom officiel de votre serveur, à savoir, le nom DNS que les applis client utiliseront pour se connecter au serveur •Un mot de passe défiant. Laisser cette entrée vide !
|
Acheter un certificat SSL auprès d'une autorité de certification (CA) reconnue, telle que VeriSign ou Thawte. Pour le reste de ces instructions, nous suivons la procédure VeriSign. La procédure avec d'autres AC est semblable.
•Se rendre sur le site web VeriSign. •Cliquez sur Acheter Certificats SSL. •Plusieurs types de certificats SSL sont disponibles. Pour RaptorXML+XBRL Server, les certificats Secure Site ou Secure Site Pro devraient être suffisants. Une EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne verront pas de « barre d'adresse verte ». •Suivre le processus d'enregistrement et remplir les informations demandées pour passer votre commande. •Lorsque vous serez invité à saisir votre CSR (créé dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande. •Payer le certificat avec votre carte de crédit.
|
4.Recevoir une clé publique de l’AC
Votre autorité de certification achèvera le processus d'inscription dans les deux à trois jours ouvrables suivants. Pendant ce temps, vous recevrez éventuellement des e-mails ou des appels téléphoniques vous demandant de vérifier que vous êtes bien autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec les autorités pour achever le processus.
Une fois le processus d'autorisation et d'inscription complété, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. Celle-ci sera en texte clair ou jointe en tant que fichier .cer.
|
5.Enregistrer la clé publique dans le fichier
Pour une utilisation avec RaptorXML+XBRL Server, la clé publique doit être sauvegardée dans un fichier .cer. Si la clé publique était fournie en tant que texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier de texte que nous appellerons mycertificate.cer.
|
6.Enregistrer les certificats intermédiaires de la CA dans un fichier
Pour terminer votre certificat SSL, il vous faudra deux certificats supplémentaires : les certificats intermédiaires primaires et secondaires. Votre autorité de certification (CA) affichera la liste des certificats intermédiaires sur son site Web.
•Certificats intermédiaires de Verisign : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Certificats intermédiaires de Verisign pour son produit Secure Site : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés, puis les enregistrer sur votre ordinateur.
|
7.En option, regrouper les certificats dans un seul fichier de certificat de clé publique
Vous disposez désormais de trois fichiers de certificats :
•Clé publique (mycertificate.cer) •Certificat intermédiaire secondaire •Certificat intermédiaire primaire
Vous pouvez intégrer vos certificats intermédiaires dans votre certificat de clé publique si vous le souhaitez. Vous trouverez ci-dessous la description de la procédure à suivre. (Vous pouvez également utiliser le paramètre du fichier de configuration https.certificate-chain pour indiquer l'emplacement des certificats intermédiaires.)
Chacun contient des blocs de texte délimités par des lignes qui ressemblent à ceci : --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
Copiez-collez maintenant les trois certificats dans un fichier, dans l'ordre. Il est important de respecter l'ordre correct : (i) clé publique, (ii) certificat intermédiaire secondaire, (iii) certificat intermédiaire primaire. Assurez-vous qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- clé publique de mycertificate.cer (voir étape 5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire secondaire (voir étape 6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire primaire (voir étape 6) --END CERTIFICATE--
Enregistrez le texte du certificat combiné dans un fichier nommé publickey.cer. Il s'agit du fichier de certificat à clé publique de votre certificat SSL. Il comprend votre certificat de clé publique ainsi que la chaîne de confiance complète sous la forme des certificats intermédiaires utilisés par l'AC pour signer votre certificat. |