Sécurité

Certificats : Créer et gérer les certificats TLS

Capture d’écran d’en-tête

Gérez les certificats TLS, créez des certificats auto-signés et des demandes de certificat, et importez des certificats signés par une autorité de certification.

Installation de certificat

Le BeyondTrust Appliance B Series dispose d’un certificat auto-signé préinstallé. Toutefois, pour utiliser efficacement votre B Series Appliance, il est nécessaire de créer au moins un certificat auto-signé, en privilégiant les demandes et les mises en ligne de certificat signé par une autorité de certification. En plus de la fonction de demande de certificat d’AC, BeyondTrust inclut des fonctions permettant d’obtenir et de renouveler automatiquement ses propres certificats TLS auprès de l’autorité de certificat Let’s Encrypt.

Let’s Encrypt

Let’s Encrypt remet des certificats signés d’une validité de 90 jours qui peuvent se renouveler automatiquement et indéfiniment. Pour demander un certificat Let’s Encrypt ou en renouveler un à l’avenir, vous devez satisfaire aux exigences suivantes :

  • Le DNS pour le nom d’hôte que vous demandez doit pointer vers le B Series Appliance.
  • Le B Series Appliance doit pouvoir contacter Let’s Encrypt sur le port TCP 443.
  • Let’s Encrypt doit pouvoir contacter le B Series Appliance sur le port TCP 80.

Pour plus d’informations, veuillez visiter letsencrypt.org.

Sécurité :: Certificats Let’s Encrypt

Pour implémenter un certificat Let’s Encrypt, allez dans la section Sécurité :: Certificats Let’s Encrypt™ et :

  • Saisissez le nom de domaine complet (FQDN) du B Series Appliance dans le champ Nom d’hôte.
  • Utilisez le menu déroulant pour choisir le type de clé de certificat.
  • Cliquez sur Demande.

Tant que les conditions ci-dessus sont remplies, le certificat se renouvellera automatiquement tous les 90 jours une fois le contrôle de validité avec Let’s Encrypt effectué.

le B Series Appliance lance le processus de renouvellement du certificat 30 jours avant l’expiration du certificat et nécessite le même processus que la requête d’origine. Si celui-ci n’a pas abouti 25 jours avant l’expiration, le B Series Appliance enverra des alertes quotidiennes par e-mail à l’administrateur (si les notifications par e-mail sont activées). Le statut affichera le certificat dans un statut d’erreur.

 

Étant donné que le DNS ne peut s’appliquer qu’à un B Series Appliance à la fois, et comme un B Series Appliance doit se voir attribuer le nom d’hôte de DNS pour lequel il fait une demande de certificat ou une demande de renouvellement, nous vous recommandons d’éviter d’utiliser des certificats Let’s Encrypt pour les paires de B Series Appliances en reprise en séquence.

 

si le certificat demandé est un remplacement, il est nécessaire de sélectionner la clé existante du certificat à remplacer.

Si le certificat demandé est un renouvellement de clé, sélectionnez Nouvelle clé pour le certificat.

Lors d’un renouvellement de clé, les informations de la section Sécurité :: Certificats :: Nouveau certificat doivent correspondre à celles du certificat pour lequel le renouvellement de clé est demandé. Il est possible d’utiliser un nouveau nom de certificat reconnaissable pour identifier facilement le certificat dans la section Sécurité :: Certificats.

Les informations à fournir pour un renouvellement de clé peuvent être obtenues en cliquant sur l’ancien certificat répertorié dans la section Sécurité :: Certificats.

Pour obtenir un certificat de nouvelle clé ou de renouvellement de clé, la marche à suivre pour l’importation est identique.

Autres certificats remis par des AC

Sécurité :: Autres certificats

Pour créer une demande de certificat :

  • Allez dans la section Sécurité :: Autres certificats et cliquez sur Créer.

Sécurité :: Certificats :: Nouveau certificat

  • Dans le champ Nom du certificat, saisissez un nom que vous utiliserez pour identifier ce certificat.
  • Dans le menu déroulant Clé, trouvez la Clé existante de votre certificat *.beyondtrustcloud.com.
  • Indiquez le reste des informations relatives à votre organisation.
  • Dans le champ Nom (nom courant), saisissez un titre descriptif pour votre site BeyondTrust.
  • Dans la section Noms du sujet alternatifs, indiquez le nom d’hôte de votre site BeyondTrust, puis cliquez sur Ajouter. Ajoutez un certificat SAN pour chaque nom DNS ou adresse IP à protéger par ce certificat SSL.

les adresses DNS peuvent être saisies comme des noms de domaine complets, comme access.example.com, ou comme des noms de domaine à caractère générique, comme *.example.com. Un nom de domaine à caractère générique englobe plusieurs sous-domaines, comme access.example.com, remote.example.com et ainsi de suite.

Cliquez sur Créer une demande de certificat.

Sécurité :: Importer un certificat

Pour utiliser un certificat signé par une AC, contactez l’autorité de certificat de votre choix et achetez-lui un nouveau certificat à l’aide d’une DSC que vous avez créée dans BeyondTrust. Une fois l’achat effectué, l’AC vous envoie un ou plusieurs fichiers de certificat à installer sur le B Series Appliance.

Pour mettre en ligne vos nouveaux fichiers de certificat, cliquez sur Importer. Accédez au premier fichier et mettez-le en ligne. Répétez cette opération pour chaque certificat envoyé par votre AC. Bien souvent, l’AC n’envoie pas le certificat racine, celui-ci devant être installé sur votre B Series Appliance. En l’absence d’un certificat racine, un avertissement est visible sous le nouveau certificat : « Il manque une ou plusieurs autorités de certification à la chaîne de certificats. La chaîne ne se termine pas par un certificat auto-signé. »

Pour télécharger un certificat racine pour le certificat de votre B Series Appliance, consultez les informations envoyées par votre AC pour obtenir un lien vers le certificat racine adéquat. Si aucun n’est accessible, contactez l’AC pour en obtenir un. Si cette démarche se révèle peu pratique, recherchez dans son site Web pour accéder à son magasin de certificats racine. Vous y trouverez l’ensemble des certificats racine de l’AC. Les principales AC proposent leurs certificats racine en ligne.

En général, la façon la plus simple de trouver la racine adaptée à votre certificat est d’ouvrir le fichier de certificat de votre machine locale et d’analyser son Chemin d’accès de certification ou sa Hiérarchie de certification. La racine de la hiérarchie ou du chemin se trouve en principe au sommet de l’arbre. Repérez le certificat racine. Téléchargez-le ensuite dans le magasin de certificats racine de l’AC et importez-le dans votre B Series Appliance, comme indiqué ci-dessus.

Certificats

Sécurité :: Autres certificats

Consultez un tableau de certificats SSL disponibles sur votre B Series Appliance.

Pour les connexions incompatibles avec l’indication du nom de serveur (SNI) ou pour celles qui ne fournissent pas le bon SNI, sélectionnez un certificat SSL par défaut dans la liste pour prendre en charge ces connexions en cliquant sur le bouton sous la colonne Défaut. Le certificat SSL par défaut ne peut pas être un certificat auto-signé ni être le certificat du B Series Appliance fourni lors de l’installation initiale.

pour en savoir plus sur les SNI, consultez Indication du nom de serveur à l’adresse https://cio.gov/sni/.

 

Sécurité :: Certificats :: Modifier

Cliquez sur un nom de certificat pour consulter ses détails et gérer sa chaîne de certificats.

 

Sécurité :: Autres certificats

Pour exporter un ou plusieurs certificats, cochez la case du certificat à exporter, sélectionnez Exporter dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Certificats :: Exportation

Si vous n’exportez qu’un seul certificat, vous pouvez immédiatement indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour lancer le téléchargement.

 

Sécurité :: Certificats :: Exportation

Si vous exportez plusieurs certificats, vous disposez d’une option pour exporter chaque certificat individuellement ou dans un seul fichier PKCS#7.

Si vous choisissez d’exporter plusieurs certificats dans un seul fichier, cliquez sur Continuer pour lancer le téléchargement. Avec cette option, seuls les fichiers du certificat actuel sont exportés, sans les chaînes de certificat.

 

Sécurité :: Certificats :: Exportation

Pour prendre en compte les chaînes de certificat lors de l’exportation, choisissez l’exportation individuelle et cliquez sur Continuer pour voir les certificats sélectionnés. Pour chaque liste, vous pouvez indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour lancer le téléchargement.

 

Sécurité :: Autres certificats

Pour supprimer un ou plusieurs certificats, cochez la case de chaque certificat à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

en principe, un certificat ne doit jamais être supprimé à moins qu’il n’ait été remplacé par un remplaçant fonctionnel.

 

 

Pour confirmer la précision de votre sélection, consultez les certificats à supprimer, puis cliquez sur Supprimer.

 

Demandes de certificat

Demandes de certificat

Consultez un tableau des demandes en attente pour les certificats signés par une tierce partie. Cliquez sur un nom de demande de certificat pour consulter les informations.

 

Sécurité :: Certificats :: Consulter la demande

La demande d’informations affiche aussi les données de demande que vous avez indiquées à l’autorité de certification de votre choix lors de la demande d’un certificat signé.

si vous renouvelez un certificat, utilisez le même certificat Demande de données utilisé pour le certificat d’origine.

 

Sécurité :: Autres certificats

Pour supprimer une ou plusieurs demandes de certificat, cochez la case de chaque demande à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Demandes :: Supprimer

Pour confirmer la précision de votre sélection, consultez les demandes de certificat à supprimer, puis cliquez sur Supprimer.