Sécurité

Certificats : Création et gestion des certificats SSL

Sécurité :: Certificats

Gérez les certificats SSL, créez des certificats auto-signés et des demandes de certificat, et importez des certificats signés par une autorité de certification.

Installation de certificat

La BeyondTrust Appliance B Series dispose d’un certificat auto-signé préinstallé. Cependant, pour utiliser efficacement votre BeyondTrust Appliance B Series, vous devrez aussi créer au minimum un certificat auto-signé, en demandant et en envoyant de préférence un certificat signé par une autorité de certificat.En plus de la fonction de demande de certificat d’AC, BeyondTrust inclut des fonctions permettant d’obtenir et de renouveler automatiquement ses propres certificats TLS auprès de l’autorité de certificat Let’s Encrypt.

Let’s Encrypt

Let’s Encrypt remet des certificats signés d’une validité de 90 jours qui peuvent se renouveler automatiquement et indéfiniment. Pour demander un certificat Let’s Encrypt ou en renouveler un à l’avenir, vous devez satisfaire aux exigences suivantes :

  • Le DNS pour le nom d’hôte que vous demandez doit pointer vers la B Series Appliance.
  • La B Series Appliance doit pouvoir contacter Let’s Encrypt sur le port TCP 443.
  • Let’s Encrypt doit pouvoir contacter la B Series Appliance sur le port TCP 80.

Pour plus d’informations, veuillez visiter letsencrypt.org.

Sécurité :: Certificats Let’s Encrypt

Pour implémenter un certificat Let’s Encrypt, allez dans la section Sécurité :: Certificats Let’s Encrypt™ et :

  • Saisissez le nom de domaine complet (FQDN) de la B Series Appliance dans le champ Nom d’hôte.
  • Utilisez le menu déroulant pour choisir le type de clé de certificat.
  • Cliquez sur Demande.

Tant que les conditions ci-dessus sont remplies, le certificat se renouvellera automatiquement tous les 90 jours une fois le contrôle de validité avec Let’s Encrypt effectué.

la B Series Appliance lance le processus de renouvellement du certificat 30 jours avant l’expiration du certificat et nécessite le même processus que la requête d’origine. Si celui-ci n’a pas abouti 25 jours avant l’expiration, la B Series Appliance enverra des alertes quotidiennes par e-mail à l’administrateur (si les notifications par e-mail sont activées). Le statut affichera le certificat dans un statut d’erreur.

 

Étant donné que le DNS ne peut s’appliquer qu’à une B Series Appliance à la fois, et comme une B Series Appliance doit se voir attribuer le nom d’hôte de DNS pour lequel il fait une demande de certificat ou une demande de renouvellement, nous vous recommandons d’éviter d’utiliser des certificats Let’s Encrypt pour les paires de B Series Appliances en reprise en séquence.

Autres certificats remis par des AC

Sécurité :: Autres certificats

 

Sécurité :: Certificats :: Nouveau certificat

Pour créer un certificat auto-signé ou une demande de certificat auprès d’un autre émetteur, allez dans la section Sécurité :: Autres certificats et cliquez sur Créer. Dans Nom convivial du certificat, saisissez un nom pour identifier ce certificat. À partir du menu déroulant Clé, choisissez de créer une nouvelle clé ou sélectionnez une clé existante. Indiquez le reste des informations relatives à votre organisation.

si le certificat demandé est un remplacement, il est nécessaire de sélectionner la clé existante du certificat à remplacer.

Si le certificat demandé est un renouvellement de clé, sélectionnez Nouvelle clé pour le certificat.

Lors d’un renouvellement de clé, les informations de la section Sécurité :: Certificats :: Nouveau certificat doivent correspondre à celles du certificat pour lequel le renouvellement de clé est demandé. Un nouveau nom convivial de certificat devrait être utilisé afin qu’il soit facile d’identifier le certificat dans la section Sécurité :: Certificats.

Les informations à fournir pour un renouvellement de clé peuvent être obtenues en cliquant sur l’ancien certificat répertorié dans la section Sécurité :: Certificats.

Pour obtenir un certificat de nouvelle clé ou de renouvellement de clé, la marche à suivre pour l’importation est identique.

Autres certificats remis par des AC

Pour créer une demande de certificat :

Sécurité :: Autres certificats

  • Allez dans la section Sécurité :: Autres certificats et cliquez sur Créer.

 

Sécurité :: Certificats :: Nouveau certificat

  • Dans le champ Nom du certificat, saisissez un nom que vous utiliserez pour identifier ce certificat.
  • Dans le menu déroulant Clé, trouvez la Clé existante de votre certificat *.beyondtrustcloud.com.
  • Indiquez le reste des informations relatives à votre organisation.
  • Dans le champ Nom (nom courant), saisissez un titre descriptif pour votre site BeyondTrust.
  • Dans la section Noms du sujet alternatifs, indiquez le nom d’hôte de votre site BeyondTrust, puis cliquez sur Ajouter. Ajoutez un certificat SAN pour chaque nom DNS ou adresse IP à protéger par ce certificat SSL.

 

les adresses DNS peuvent être saisies comme des noms de domaine complets, comme access.example.com, ou comme des noms de domaine à caractère générique, comme *.example.com. Un nom de domaine à caractère générique englobe plusieurs sous-domaines, comme access.example.com, etc.

Si vous comptez obtenir un certificat signé par une autorité de certificat, cliquez sur Créer une demande de certificat pour créer une demande de signature de certificat (DSC). Sinon, cliquez sur Créer un certificat auto-signé.

Sécurité :: Importer un certificat

Pour utiliser un certificat signé par une AC, contactez l’autorité de certificat de votre choix et achetez-lui un nouveau certificat à l’aide d’une DSC que vous avez créée dans BeyondTrust. Une fois l’achat effectué, l’AC vous enverra un ou plusieurs fichiers de nouveau certificat à installer sur le B Series Appliance.

Pour envoyer des certificats ou des clés privées, cliquez sur Importer. Accédez au premier fichier et mettez-le en ligne. Répétez cette opération pour chaque certificat envoyé par votre AC. L’AC n’envoie souvent pas son certificat racine, qui doit être installé sur votre B Series Appliance. En l’absence d’un certificat racine, un avertissement est visible sous le nouveau certificat : « Il manque une ou plusieurs autorités de certification à la chaîne de certificats. La chaîne ne se termine pas par un certificat auto-signé. »

Pour télécharger un certificat racine pour le certificat de votre B Series Appliance, consultez les informations envoyées par votre AC pour obtenir un lien vers le certificat racine adéquat. Si aucun n’est accessible, contactez l’AC pour en obtenir un. Si cette démarche se révèle peu pratique, recherchez dans son site Web pour accéder à son magasin de certificats racine. Vous y trouverez l’ensemble des certificats racine de l’AC. Les principales AC proposent leurs certificats racine en ligne.

En général, la façon la plus simple de trouver le certificat racine adapté à votre certificat est d'ouvrir le fichier de certificat de votre machine locale et d'analyser son « Chemin de certification » ou sa « Hiérarchie de certification ». La racine de la hiérarchie ou du chemin se trouve en principe au sommet de l’arbre. Trouvez ce certificat racine dans le magasin de racines en ligne de votre AC. Téléchargez-le ensuite dans le magasin de certificats racine de l’AC et importez-le dans votre B Series Appliance, comme indiqué ci-dessus.

Si les certificats intermédiaires ou racines diffèrent de ceux en cours d’utilisation (ou si un certificat auto-signé était précédemment utilisé), veuillez demander une mise à jour à l’BeyondTrust Technical Support. L’BeyondTrust Technical Support vous demandera une copie du nouveau certificat, ainsi que de ses certificats intermédiaire et racine.

Certificats

Un tableau répertoriant tous les certificats disponibles sur le B Series Appliance dans l’interface /appliance.

Consultez un tableau de certificats SSL disponibles sur votre B Series Appliance.

 

Pour les connexions incompatibles avec l’indication du nom de serveur (SNI) ou pour celles qui ne fournissent pas le bon SNI, sélectionnez un certificat SSL par défaut dans la liste pour prendre en charge ces connexions en cliquant sur le bouton sous la colonne Défaut. Le certificat SSL par défaut ne peut pas être un certificat auto-signé ni être le certificat de la B Series Appliance fourni lors de l’installation initiale.

pour en savoir plus sur les SNI, consultez Indication du nom de serveur.

 

Sécurité :: Autres certificats :: Sélectionner une action

Pour exporter un ou plusieurs certificats, cochez la case du certificat à exporter, sélectionnez Exporter dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Certificats :: Exportation

Si vous exportez uniquement un certificat, vous pouvez immédiatement choisir d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour lancer le téléchargement.

 

Sécurité :: Certificats :: Exportation

Si vous exportez plusieurs certificats, vous aurez le choix d'exporter chaque certificat individuellement ou un fichier PKCS#7 unique.

Si vous choisissez d’exporter plusieurs certificats dans un seul fichier, cliquez sur Continuer pour lancer le téléchargement. Grâce à cette option, seul le certificat réel sera exporté sans clé privée ou chaîne du certificat.

 

Sécurité :: Certificats :: Exportation

Pour inclure des clés privées et/ou des chaînes de certificats lors de l'exportation, sélectionnez l'exportation individuelle et cliquez sur Continuer pour consulter tous les certificats sélectionnés. Pour chaque liste, vous choisissez d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour lancer le téléchargement.

une clé privée ne doit jamais, ou rarement, être exportée depuis une B Series Appliance. En cas de vol, une personne malveillante pourrait facilement compromettre le site BeyondTrust qui a généré la clé. Si vous devez tout de même exporter une clé, assurez-vous d'y associer un mot de passe fort.

 

Sécurité :: Autres certificats :: Sélectionner une action

Pour supprimer un ou plusieurs certificats, cochez la case de chaque certificat à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

en principe, un certificat ne doit jamais être supprimé à moins qu’il n’ait été remplacé par un remplaçant fonctionnel.

 

Sécurité :: Certificats :: Supprimer

Pour confirmer l'exactitude, examinez les certificats que vous souhaitez supprimer, puis cliquez sur Supprimer.

 

Demandes de certificat

Demandes de certificat

Consultez un tableau des demandes en attente pour les certificats signés par une tierce partie. Cliquez sur un nom de demande de certificat pour consulter les informations.

 

Sécurité :: Certificats :: Consulter la demande

La consultation des détails vous fournit également les données sur la demande que vous transmettrez à votre autorité de certificat préférée lors de la demande de certificat signé.

si vous renouvelez un certificat, utilisez le même certificat Demande de données utilisé pour le certificat d’origine.

 

Demandes de certificats :: Sélectionner une action

Pour supprimer une ou plusieurs demandes de certificat, cochez la case de chaque demande à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Demandes :: Supprimer

Pour confirmer la précision de votre sélection, consultez les demandes de certificat à supprimer, puis cliquez sur Supprimer.