Exigences du certificat SSL

Toutes les communications du logiciel BeyondTrust se font par des connexions sécurisées et cryptées. Elles reposent sur la technologie Secure Sockets Layer (SSL), une norme dans l’industrie, et l’adresse DNS du serveur. Les serveurs d’accès à distance sécurisé sont fournis avec un certificat par défaut qui sécurise la connexion initiale à l’adresse de gestion 169.254.1.x. Cependant, cela ne satisfera pas aux exigences du logiciel client BeyondTrust, qui effectue des contrôles de vérification plus rigoureux que les navigateurs internet standard. Ainsi, avant que BeyondTrust puisse vous fournir un package de licence logicielle complètement opérationnel, votre serveur d’accès à distance sécurisé doit disposer d’un certificat SSL valide installé qui correspond à l’enregistrement DNS de type A que vous avez enregistré pour votre serveur.

Un certificat SSL valide peut être un certificat SSL signé par une autorité de certification (signé par une AC) ou un certificat SSL auto-signé. Les certificats signés par une AC sont nécessaires pour exploiter pleinement toutes les fonctions de BeyondTrust (comme la fonction cliquer-pour-messagerie instantanée et les clients mobiles), mais il faut alors qu’une demande de signature de certificat (DSC) soit soumise à l’AC. La DSC est une norme industrielle utilisée par tous les appareils et logiciels réseau qui utilisent le SSL. Si une DSC ou un certificat signé par une AC est utilisé à la place d’un certificat auto-signé, le certificat signé par une AC doit être téléchargé depuis le site de l’AC (ou l’e-mail de preuve d’achat) et importé sur le serveur d’accès à distance sécurisé depuis l’interface /appliance. En plus de la fonction de demande de certificat d’AC, BeyondTrust inclut des fonctions permettant d’obtenir et de renouveler automatiquement ses propres certificats TLS auprès de l’autorité de certificat Let’s Encrypt.

Pour plus d’informations sur la création et la gestion de certificats SSL dans BeyondTrust RS, veuillez consulter les articles suivants :

La section Créer un certificat SSL décrit en détail les étapes pour la configuration initiale. Une vue d’ensemble du processus est fournie ci-dessous.

  1. Connectez-vous à l’interface /appliance BeyondTrust et créez une demande de signature de certificat (DSC) ou un certificat auto-signé.

    Si le serveur d’accès à distance sécurisé utilisera une copie du certificat venant d’un autre serveur d’accès à distance sécurisé ou d’un autre serveur, aucune DSC et aucun certificat auto-signé ne sont nécessaires. Au lieu de cela, exportez le certificat et sa clé privée depuis le système sur lequel il se trouve et importez-le sur le serveur d’accès à distance sécurisé.

  2. Envoyez à l’assistance technique BeyondTrust une copie du certificat racine SSL ou des adresses DNS du serveur. Envoyez également une capture d'écran de la page /appliance > État > Bases.

    Si vous utilisez un certificat auto-signé, le certificat fait office de certificat racine ; ainsi, le certificat auto-signé doit être envoyé à l’assistance technique BeyondTrust. Si un certificat signé par une AC est utilisé, contactez l’AC pour obtenir une copie de leur certificat racine. Si vous avez des difficultés à contacter l’AC, vous trouverez des articles pour vous aider à obtenir votre certificat racine à l’adresse beyondtrust.com/docs/index.htm#support. Quel que soit le cas, l’assistance technique BeyondTrust devra connaître l’adresse DNS du serveur. Si votre adresse DNS est publique et que le certificat SSL est déjà installé, l’assistance technique peut récupérer une copie de la racine depuis l’adresse DNS publique ; dans ce cas, il n’est pas nécessaire d’envoyer manuellement le certificat racine. Si vous envoyez le certificat SSL, assurez-vous qu'il soit au format PKCS#7 (.p7b) ou DER (.cer). N’envoyez pas de PKCS#12 (.p12 et .pfx).

Une fois ces étapes terminées, l’assistance technique BeyondTrust encode le nom d’hôte DNS et le certificat racine SSL dans un nouveau package de licence logicielle, l’envoie aux serveurs de licences BeyondTrust pour qu’il soit construit, puis vous envoie des instructions sur l’installation du nouveau package une fois cela fait.