Sécurité

Certificats : Créez et gérez les certificats SSL

L’en-tête de certificat dans /appliance affichant les options de l’onglet de sécurité.

Gérez les certificats SSL, créez des certificats auto-signés et des demandes de certificat, et importez des certificats signés par une autorité de certification.

Installation de certificat

Le serveur d’accès à distance sécurisé dispose d’un certificat auto-signé préinstallé. Cependant, pour utiliser efficacement votre serveur d’accès à distance sécurisé, vous devrez aussi créer au minimum un certificat auto-signé, en demandant et en ajoutant de préférence un certificat signé par une autorité de certificat. En plus de la fonction de demande de certificat d’AC, BeyondTrust inclut des fonctions permettant d’obtenir et de renouveler automatiquement ses propres certificats TLS auprès de l’autorité de certificat Let’s Encrypt.

Let’s Encrypt

Let’s Encrypt remet des certificats signés d’une validité de 90 jours qui peuvent se renouveler automatiquement et indéfiniment. Pour demander un certificat Let’s Encrypt ou en renouveler un à l’avenir, vous devez satisfaire aux exigences suivantes :

  • Le DNS pour le nom d’hôte que vous demandez doit pointer vers le serveur.
  • Le serveur doit pouvoir contacter Let's Encrypt sur le port TCP 443.
  • Let’s Encrypt doit pouvoir contacter le serveur sur le port TCP 80.

Pour plus d’informations, veuillez visiter letsencrypt.org.

Sécurité :: Certificats Let’s Encrypt

Pour implémenter un certificat Let’s Encrypt, allez dans la section Sécurité :: Certificats Let’s Encrypt™ et :

  • Saisissez le nom de domaine complet (FQDN) du serveur dans le champ Nom d’hôte.
  • Utilisez le menu déroulant pour choisir le type de clé de certificat.
  • Cliquez sur Demande.

Tant que les conditions ci-dessus sont remplies, le certificat se renouvellera automatiquement tous les 90 jours une fois le contrôle de validité avec Let’s Encrypt effectué.

Le serveur lance le processus de renouvellement du certificat 30 jours avant l’expiration du certificat et nécessite le même processus que la requête d’origine. Si celui-ci n’a pas abouti 25 jours avant l’expiration, le serveur enverra des alertes quotidiennes par e-mail à l’administrateur (si les notifications par e-mail sont activées). Le statut affichera le certificat dans un statut d’erreur.

 

Étant donné que le DNS ne peut s’appliquer qu’à un serveur à la fois, et comme un serveur doit se voir attribuer le nom d’hôte de DNS pour lequel il fait une demande de certificat ou une demande de renouvellement, nous vous recommandons d’éviter d’utiliser des certificats Let’s Encrypt pour les paires de serveurs en reprise en séquence.

Autres certificats remis par des AC

Sécurité :: Autres certificats

Sécurité :: Certificats :: Nouveau certificat

Pour créer un certificat auto-signé ou une demande de certificat auprès d’un autre émetteur, allez dans la section Sécurité :: Autres certificats et cliquez sur Créer. Dans Nom convivial du certificat, saisissez un nom pour identifier ce certificat. À partir du menu déroulant Clé, choisissez de créer une nouvelle clé ou sélectionnez une clé existante. Indiquez le reste des informations relatives à votre organisation.

si le certificat demandé est un remplacement, il est nécessaire de sélectionner la clé existante du certificat à remplacer.

Si le certificat demandé est un renouvellement de clé, sélectionnez Nouvelle clé pour le certificat.

Dans le cas d'un certificat de renouvellement de clé, toutes les informations de la section Sécurité :: Certificats :: Nouveau certificat doivent correspondre au certificat associé à la demande de renouvellement. Un nouveau nom convivial de certificat devrait être utilisé afin qu’il soit facile d’identifier le certificat dans la section Sécurité :: Certificats.

Les informations à fournir pour un renouvellement de clé peuvent être obtenues en cliquant sur l’ancien certificat répertorié dans la section Sécurité :: Certificats.

Pour obtenir un certificat de nouvelle clé ou de renouvellement de clé, la marche à suivre pour l’importation est identique.

Autres certificats remis par des AC

Pour créer une demande de certificat :

Sécurité :: Autres certificats

  • Allez dans la section Sécurité :: Autres certificats et cliquez sur Créer.

Sécurité :: Certificats :: Nouveau certificat

  • Dans le champ Nom du certificat, saisissez un nom que vous utiliserez pour identifier ce certificat.
  • Dans le menu déroulant Clé, trouvez la Clé existante de votre certificat *.bomgarcloud.com.
  • Indiquez le reste des informations relatives à votre organisation.
  • Dans le champ Nom (nom courant), saisissez un titre descriptif pour votre site BeyondTrust.
  • Dans la section Noms de sujet alternatifs, indiquez le nom d’hôte de votre site BeyondTrust, puis cliquez sur Ajouter. Ajoutez un certificat SAN pour chaque nom DNS ou adresse IP à protéger par ce certificat SSL.

 

il est possible d’utiliser un nom de domaine complet pour les adresses DNS tel que access.example.com, ou un nom de domaine générique, comme *.example.com). Un nom de domaine à caractère générique englobe plusieurs sous-domaines, comme access.example.com, etc.

Si vous comptez obtenir un certificat signé par une autorité de certificat, cliquez sur Créer une demande de certificat pour créer une demande de signature de certificat (DSC). Sinon, cliquez sur Créer un certificat auto-signé.

Cliquez sur Créer une demande de certificat.

Sécurité :: Importer un certificat

Pour utiliser un certificat signé par une AC, contactez l’autorité de certificat de votre choix et achetez-lui un nouveau certificat à l’aide d’une DSC que vous avez créée dans BeyondTrust. Une fois l’achat effectué, l’AC vous enverra un ou plusieurs fichiers de nouveau certificat à installer sur le serveur d’accès à distance sécurisé.

Pour mettre en ligne vos nouveaux fichiers de certificat, cliquez sur Importer. Pour envoyer des certificats et/ou des clés privées, cliquez sur Importer. Accédez au premier fichier et mettez-le en ligne. Répétez cette opération pour chaque certificat envoyé par votre AC. Une AC n’envoie souvent pas son certificat racine, qui doit être installé sur votre serveur d’accès à distance sécurisé. En l’absence d’un certificat racine, un avertissement est visible sous le nouveau certificat : « Il manque une ou plusieurs autorités de certification à la chaîne de certificats. La chaîne ne se termine pas par un certificat auto-signé. »

Pour télécharger un certificat racine pour le certificat de votre serveur, consultez les informations envoyées par votre AC pour obtenir un lien vers le certificat racine adéquat. Si aucun n'est accessible, contactez l'AC pour en obtenir un. Si cette démarche se révèle peu pratique, recherchez dans son site Web pour accéder à son magasin de certificats racine. Vous y trouverez l'ensemble des certificats racine de l'AC. Les principales AC proposent leurs certificats racine en ligne.

En général, la façon la plus simple de trouver le certificat racine adapté à votre certificat est d’ouvrir le fichier de certificat de votre machine locale et d’analyser son « Chemin de certification » ou sa « Hiérarchie de certification ». La racine de la hiérarchie ou du chemin se trouve en principe au sommet de l'arbre. Trouvez ce certificat racine dans le magasin de racines en ligne de votre AC. Une fois que c’est fait, téléchargez-le depuis le magasin de certificats racine de l’AC et importez-le sur votre serveur d’accès à distance sécurisé, comme indiqué ci-dessus.

Si les certificats intermédiaires ou racines diffèrent de ceux en cours d’utilisation (ou si un certificat auto-signé était précédemment utilisé), veuillez demander une mise à jour à l’assistance technique BeyondTrust. L’assistance technique BeyondTrust vous demandera une copie du nouveau certificat, ainsi que de ses certificats intermédiaire et racine.

Certificats

Un tableau affichant la liste de tous les certificats disponibles sur le serveur d’accès à distance sécurisé dans l’interface /appliance.

Consultez un tableau de certificats SSL disponibles sur votre serveur.

 

 

Pour les connexions incompatibles avec l’indication du nom de serveur (SNI) ou pour celles qui ne fournissent pas le bon SNI, sélectionnez un certificat SSL par défaut dans la liste pour prendre en charge ces connexions en cliquant sur le bouton sous la colonne Défaut. Le certificat SSL par défaut ne peut pas être un certificat auto-signé ni être le certificat du serveur d’accès à distance sécurisé par défaut fourni lors de l’installation initiale.

Pour en savoir plus sur les SNI, consultez Indication du nom de serveur.

 

Sécurité :: Certificats :: Modifier la configuration du certificat

Cliquez sur un nom de certificat pour consulter ses détails et gérer sa chaîne de certificats.

 

Sécurité :: Autres certificats :: Sélectionner une action

Pour exporter un ou plusieurs certificats, cochez la case du certificat à exporter, sélectionnez Exporter dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Certificats :: ExportationSécurité :: Certificats :: Exportation

Si vous exportez uniquement un certificat, vous pouvez immédiatement choisir d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour démarrer le téléchargement.

Si vous n'exportez qu'un seul certificat, vous pouvez immédiatement indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour démarrer le téléchargement.

 

Sécurité :: Certificats :: Exportation

Si vous exportez plusieurs certificats, vous aurez le choix d'exporter chaque certificat individuellement ou un fichier PKCS#7 unique.

Lorsque vous choisissez d'exporter plusieurs certificats en tant que fichier unique, cliquez sur Continuer pour démarrer le téléchargement. Grâce à cette option, seul le certificat réel sera exporté sans clé privée ou chaîne du certificat. Avec cette option, seuls les fichiers du certificat actuel sont exportés, sans les chaînes de certificat.

 

Sécurité :: Certificats :: Exportation

Pour inclure des clés privées et/ou des chaînes de certificats lors de l'exportation, sélectionnez l'exportation individuelle et cliquez sur Continuer pour consulter tous les certificats sélectionnés. Pour chaque liste, vous choisissez d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour lancer le téléchargement.

Une clé privée ne doit jamais, ou rarement, être exportée depuis un serveur. En cas de vol, une personne malveillante pourrait facilement compromettre le site BeyondTrust qui a généré la clé. Si vous devez tout de même exporter une clé, assurez-vous d'y associer un mot de passe fort.

 

Sécurité :: Certificats :: Exporter

Pour prendre en compte les chaînes de certificat lors de l’exportation, choisissez l’exportation individuelle et cliquez sur Continuer pour voir les certificats sélectionnés. Pour chaque liste, vous pouvez indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour lancer le téléchargement.

 

Sécurité :: Autres certificats :: Sélectionner une action

Pour supprimer un ou plusieurs certificats, cochez la case de chaque certificat à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

en principe, un certificat ne doit jamais être supprimé à moins qu’il n’ait été remplacé par un remplaçant fonctionnel.

 

Sécurité :: Certificats :: Supprimer

Pour confirmer l'exactitude, examinez les certificats que vous souhaitez supprimer, puis cliquez sur Supprimer.

 

Demandes de certificat

Demandes de certificat

Consultez un tableau de demandes en suspens pour les certificats signés par un tiers. Cliquez sur un nom de demande de certificat pour consulter les informations.

 

Sécurité :: Certificats :: Consulter une demande

La consultation des détails vous fournit également les données sur la demande que vous transmettrez à votre autorité de certificat préférée lors de la demande de certificat signé.

si vous renouvelez un certificat, utilisez le même certificat Demande de données utilisé pour le certificat d’origine.

 

Demandes de certificats :: Sélectionner une action

Pour supprimer une ou plusieurs demandes de certificat, cochez la case de chaque demande à supprimer, sélectionnez Supprimer dans le menu déroulant en haut du tableau et cliquez sur Appliquer.

 

Sécurité :: Demandes :: Supprimer

Pour confirmer la précision de votre sélection, consultez les demandes de certificat à supprimer, puis cliquez sur Supprimer.

 

Clés

Sécurité :: Clés

Consultez un tableau de clés privés associées aux certificats et aux demandes de certificat sur votre serveur. Cliquez sur le lien du nom de certificat ou du nom de la demande pour obtenir des informations sur cet élément associé.

 

Sécurité :: Clés :: Sélectionner une action

Pour exporter une ou plusieurs clés privées, cochez la case correspondant à chacune des clés souhaitées, sélectionnez Exporter dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Clés :: Exporter

Pour chaque clé privée exportée, vous pouvez inclure un certificat associé. Si la clé est associée à plusieurs certificats, sélectionnez le certificat à inclure. Les demandes de certificat ne peuvent être incluses dans l’exportation. Vous pouvez également sécuriser une clé privée à l’aide d’une phrase secrète. Cliquez sur Exporter pour lancer le téléchargement.

 

Sécurité :: Clés :: Sélectionner une action

Pour supprimer une ou plusieurs clés privées, cochez la case correspondant à chacune des clés souhaitées, sélectionnez Supprimer dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Clés :: Supprimer

Pour confirmer la précision de votre sélection, consultez les clés privées à supprimer, puis cliquez sur Supprimer.