Exigences du certificat SSL

Toutes les communications du logiciel BeyondTrust ont lieu par des connexions sécurisées et cryptées. Elles reposent sur la technologie Secure Sockets Layer (SSL), une norme dans l'industrie, et l'adresse DNS du serveur. Les serveurs BeyondTrust sont fournis avec un certificat par défaut qui sécurise la connexion initiale à l'adresse de gestion 169.254.1.x. Cependant, cela ne répondra pas aux exigences du logiciel client BeyondTrust, qui effectue des contrôles de vérification bien plus rigoureux que les navigateurs internet standard. Ainsi, avant que BeyondTrust puisse vous fournir un package de licence logicielle complètement opérationnel, votre serveur BeyondTrust doit disposer d'un certificat SSL valide installé qui correspond à l'enregistrement DNS de type A que vous avez enregistré pour votre serveur.

Un certificat SSL valide peut être un certificat SSL signé par une autorité de certification (signé par une AC) ou un certificat SSL auto-signé. Les certificats signés par une AC sont nécessaires pour exploiter pleinement toutes les fonctions de BeyondTrust (comme cliquer-pour-messagerie instantanée et les clients mobiles), mais il faut alors qu'une demande de signature de certificat soit soumise à l'AC. La DSC est une norme industrielle utilisée par tous les appareils et logiciels réseau qui utilisent le SSL. Si un certificat DSC/AC est utilisé à la place d'un certificat auto-signé, le certificat signé par une AC doit être téléchargé depuis le site de l'AC (ou l'e-mail de preuve d'achat) et importé dans le serveur BeyondTrust depuis l'interface /appliance.

Pour plus d’informations sur la façon dont BeyondTrust utilise les certificats SSL, et les étapes de configuration détaillées pour demander et installer des certificats dans BeyondTrust, consultez le Guide des certificats SSL. La section Créer un certificat SSL décrit en détail les étapes pour la configuration initiale. Un aperçu de la procédure est donné ci-dessous.

  1. Connectez-vous à l'interface BeyondTrust /appliance et créez une demande de signature de certificat (DSC) ou un certificat auto-signé.

    Si le serveur BeyondTrust va utiliser une copie du certificat provenant d'un autre serveur BeyondTrust, ou autre serveur, aucune DSC ni certificat auto-signé ne sont nécessaires. Il vous suffit d'exporter le certificat avec sa clé privée du système sur lequel ils se trouvent actuellement et de l'importer dans le serveur BeyondTrust. Pour des instructions détaillées, consultez la section Répliquer le certificat SSL sur les serveurs de reprise en séquence et Atlas, dans le Guide des certificats SSL.

  2. Envoyez à l'assistance technique BeyondTrust une copie du certificat racine SSL et/ou de l'adresse DNS du serveur. Envoyez également une capture d'écran de la page /appliance > État > Bases.

    si un certificat auto-signé est utilisé, le certificat aura la fonction de son propre certificat racine, et le certificat auto-signé devra donc être envoyé à l'assistance technique BeyondTrust. Si un certificat signé par une AC est utilisé, contactez l'AC pour obtenir une copie de leur certificat racine. Si vous avez des difficultés à contacter l'AC, des articles pour vous aider à obtenir votre certificat racine peuvent être trouvés à l'adresse help.beyondtrust.com. Dans tous les cas, l'assistance technique BeyondTrust devrait être informée de l'adresse DNS du serveur. Si votre adresse DNS est publique et que le certificat SSL est déjà installé, l'assistance technique peut récupérer une copie de la racine depuis l'adresse DNS publique ; dans ce cas, il n'est pas nécessaire d'envoyer manuellement le certificat racine. Si vous envoyez le certificat SSL, assurez-vous qu'il soit au format PKCS#7 (.p7b) ou DER (.cer). N'envoyez pas de format PKCS#12 (.p12 et .pfx).

Une fois ces étapes terminées, l'assistance technique BeyondTrust encode le nom d'hôte DNS et le certificat racine SSL dans un nouveau package de licence logicielle, l'envoie aux serveurs de licences BeyondTrust pour qu'il soit construit, puis vous envoie des instructions sur l'installation du nouveau package une fois terminé.