Sécurité

Certificats : création et gestion des certificats SSL

L’en-tête de certificat dans /appliance affichant les options de l’onglet de sécurité.

La gestion des certificats SSL, la création de certificats auto-signés et de demandes de certificat, l'importation de certificats signés par une autorité de certificat et la détermination de certaines adresses IP devant être sécurisées par certains certificats.

Installation d'un certificat

Sécurité :: Installation d'un certificat

Le serveur Bomgar est accompagné d'un certificat auto-signé et préinstallé. Cependant, pour utiliser efficacement votre serveur Bomgar, vous devrez aussi créer au minimum un certificat auto-signé, en demandant et en envoyant de préférence un certificat signé par une autorité de certificat.

Sécurité :: Certificats :: Nouveau certificat

Pour créer un certificat auto-signé ou une demande de certificat, cliquez sur Créer. Dans Nom convivial du certificat, saisissez un nom pour identifier ce certificat. À partir du menu déroulant Clé, choisissez de créer une nouvelle clé ou sélectionnez une clé existante. Saisissez les informations restantes concernant votre société.

Remarque : si le certificat demandé est un certificat de remplacement, vous devez sélectionnez la clé existante du certificat remplacé.

Si le certificat demandé est un certificat de renouvellement de clé, vous devez sélectionner l'option Nouvelle clé.

Dans le cas d'un certificat de renouvellement de clé, toutes les informations de la section Sécurité :: Certificats :: Nouveau certificat doivent correspondre au certificat associé à la demande de renouvellement. Un nouveau nom convivial de certificat devrait être utilisé afin qu’il soit facile d’identifier le certificat dans la section Sécurité :: Certificats.

Les informations requises pour le renouvellement de la clé peuvent être obtenues en cliquant sur le plus ancien des certificats de la liste de la section Sécurité :: Certificats.

Qu'il s'agisse d'un certificat de génération de clé ou de renouvellement de clé, la procédure d'importation et d'application des adresses IP est la même.

Dans le champ Nom (nom commun), entrez un titre descriptif pour votre site Bomgar.

Dans la section Noms alternatifs, saisissez le nom d'hôte de votre site Bomgar, puis cliquez sur Ajouter. Ajoutez un SAN pour chaque nom de DNS ou adresse IP devant être protégé par ce certificat SSL.

Remarque : les adresses DNS peuvent être saisies comme des noms de domaine complets, comme access.example.com, ou comme des noms de domaine à caractère générique, comme . Un nom de domaine à caractère générique englobe plusieurs sous-domaines, comme access.example.com, etc.

Si vous comptez obtenir un certificat signé par une autorité de certificat, cliquez sur Créer une demande de certificat pour créer une demande de signature de certificat (DSC). Sinon, cliquez sur Créer un certificat auto-signé.

Cliquez sur Créer une demande de certificat.

Sécurité :: Importation d'un certificat

Pour utiliser un certificat signé par une AC, contactez une autorité de certification et faites l'acquisition d'un nouveau certificat à l'aide d'une DSC que vous avez créée dans Bomgar. Une fois l’achat effectué, l’AC vous enverra un ou plusieurs fichiers de nouveau certificat à installer sur le serveur Bomgar.

Pour mettre en ligne vos nouveaux fichiers de certificat, cliquez sur Importer. Pour envoyer des certificats et/ou des clés privées, cliquez sur Importer. Accédez au premier fichier et mettez-le en ligne. Répétez cette opération pour chaque certificat envoyé par votre AC. L’AC n’envoie souvent pas son certificat racine, qui doit être installé sur votre serveur Bomgar. En l'absence d'un certificat racine, un avertissement est visible sous le nouveau certificat : « Il manque une ou plusieurs autorités de certification à la chaîne de certificats. La chaîne ne se termine pas par un certificat auto-signé. »

Pour télécharger un certificat racine pour le certificat de votre serveur, consultez les informations envoyées par votre AC pour obtenir un lien vers le certificat racine adéquat. Si aucun n'est accessible, contactez l'AC pour en obtenir un. Si cette démarche se révèle peu pratique, recherchez dans son site Web pour accéder à son magasin de certificats racine. Vous y trouverez l'ensemble des certificats racine de l'AC. Les principales AC proposent leurs certificats racine en ligne.

En général, la façon la plus simple de trouver le certificat racine adapté à votre certificat est d'ouvrir le fichier de certificat de votre machine locale et d'analyser son « Chemin de certification » ou sa « Hiérarchie de certification ». La racine de la hiérarchie ou du chemin se trouve en principe au sommet de l'arbre. Trouvez ce certificat racine dans le magasin de racines en ligne de votre AC. Téléchargez-le ensuite dans le magasin de certificats racine de l'AC et importez-le dans votre serveur Bomgar, comme indiqué ci-dessus.

IMPORTANT !

Vous DEVEZ assigner une ou plusieurs adresses IP à un certificat avant que ce dernier puisse sécuriser des noms d'hôte. Cliquez sur un nom de certificat pour assigner des adresses IP.

Si les certificats intermédiaires et/ou racines diffèrent de ceux utilisés (ou si un certificat auto-signé était précédemment utilisé), veuillez demander une mise à jour à l'assistance technique Bomgar avant d'assigner une adresse IP au nouveau certificat. L'assistance technique Bomgar vous demandera une copie du nouveau certificat, ainsi que de ses certificats intermédiaire et racine.

Remarque : si plusieurs adresses IP indiquent votre serveur, assurez-vous que celles assignées à un certificat correspondent aux autres noms de sujet et au nom commun de ce certificat. Si vous n'êtes pas sûr d'une adresse IP correspondant à un nom d'hôte, vous pouvez tester le ping du nom d'hôte pour voir l'adresse IP à laquelle il se rapporte. Si une personne tente d'accéder à votre site à l'aide d'un nom d'hôte sécurisé par un certificat, et si l'adresse IP correspondant à ce nom d'hôte n'est pas assignée à ce certificat, cette personne recevra une erreur de sécurité l'informant que la connexion n'est pas fiable.

IMPORTANT !

Votre nouveau certificat SSL ne devient actif qu'une fois associé à l'adresse IP de votre serveur. Suivez les instructions du bas pour terminer ce processus.

Avant de pouvoir associer votre certificat à votre adresse IP, vous devez enregistrer un dossier CNAME DNS, puis mettre à jour votre serveur à l'aide d'une mise à jour logicielle obtenue auprès de l'assistance technique Bomgar. Pour inscrire votre enregistrement CNAME, contactez un agent d’enregistrement DNS et achetez un enregistrement CNAME qui résout le nouveau FQDN de votre choix (par exemple, support.example.com) pour le FQDN d’origine de votre serveur (par exemple, support.bomgarcloud.com). Contactez ensuite l'assistance technique Bomgar par e-mail pour obtenir la nouvelle mise à jour. Veuillez indiquer le nom de cloud bomgar d'origine de votre serveur, le nouveau CNAME de votre serveur et une copie de votre nouveau certificat racine.

L'assistance technique Bomgar créera une nouvelle mise à jour et enverra des instructions d'installation. Une fois la nouvelle mise à jour terminée, revenez sur la page de configuration des certificats de votre serveur cloud Bomgar et associez l'IP du serveur au nouveau certificat. Pour ce faire, cliquez sur le lien Assigner IP dans le dossier Certificats pour obtenir le certificat ayant le(s) Nom(s) alternatif(s) de votre dossier CNAME. Sur la page en question, cochez la case de vos adresses IP et cliquez sur Enregistrer configuration. Lors du rechargement de la page, l'installation est terminée et votre nouveau CNAME est entièrement fonctionnel.

Certificats

Un tableau montre une liste de tous les certificats disponibles sur le serveur Bomgar dans l’interface /appliance.

Consultez un tableau des certificats SSL disponibles sur votre serveur.

 

 

Le tableau montrant tous les certificats que le serveur Bomgar peut utiliser, mettant en évidence la sélection par défaut.

Pour les connexions incompatibles avec l'indication du nom de serveur (SNI) ou pour celles qui ne fournissent pas le bon SNI, sélectionnez un certificat SSL par défaut dans la liste pour prendre en charge ces connexions en cliquant sur le bouton sous la colonne Défaut. Le certificat SSL par défaut ne peut pas être un certificat auto-signé ni être le certificat du serveur Bomgar fourni lors de l'installation initiale.

Remarque : pour en savoir plus sur les SNI, consultez Indication du nom de serveur.

 

Sécurité :: Certificats :: Modifier la configuration du certificat

Cliquez sur un nom de certificat pour consulter les détails et gérer sa chaîne de certificat.

IMPORTANT !

Chaque fois que vous ajoutez une nouvelle adresse IP à votre serveur, celle-ci est assignée au certificat par défaut. Vous devez mettre à jour la configuration des Adresses IP du certificat approprié pour sécuriser la nouvelle adresse IP. Cette adresse doit avoir un nom d'hôte DNS enregistré pour elle sur le réseau ; le certificat approprié est ainsi celui qui a une entrée de nom de sujet alternatif (SAN) pour l'adresse DNS, et non pas l'adresse IP. Bien que les certificats peuvent inclure des entrées SAN d'adresse IP, cela n'est pas une configuration recommandée dans la majorité des cas.

 

Sécurité :: Certificats :: Modifier la configuration du certificat

Cliquez sur un nom de certificat pour consulter les détails et gérer sa chaîne de certificat.

 

Sécurité :: Certificats :: Sélectionner une action

Pour exporter un ou plusieurs certificats, cochez la case correspondant à chacun des certificats souhaités, sélectionnez Exporter dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Certificats :: ExportationSécurité :: Certificats :: Exportation

Si vous exportez uniquement un certificat, vous pouvez immédiatement choisir d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour démarrer le téléchargement.

Si vous n'exportez qu'un seul certificat, vous pouvez immédiatement indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour démarrer le téléchargement.

 

Sécurité :: Certificats :: Exportation

Si vous exportez plusieurs certificats, vous aurez le choix d'exporter chaque certificat individuellement ou un fichier PKCS#7 unique.

Lorsque vous choisissez d'exporter plusieurs certificats en tant que fichier unique, cliquez sur Continuer pour démarrer le téléchargement. Grâce à cette option, seul le certificat réel sera exporté sans clé privée ou chaîne du certificat. Avec cette option, seuls les fichiers du certificat actuel sont exportés, sans les chaînes de certificat.

 

Sécurité :: Certificats :: Exportation

Pour inclure des clés privées et/ou des chaînes de certificats lors de l'exportation, sélectionnez l'exportation individuelle et cliquez sur Continuer pour consulter tous les certificats sélectionnés. Pour chaque liste, vous choisissez d'inclure le certificat, la clé privée (pouvant être sécurisée par une phrase secrète) et/ou la chaîne du certificat, selon la disponibilité de chaque élément. Cliquez sur Exporter pour démarrer le téléchargement.

Remarque : une clé privée ne doit jamais, ou rarement, être exportée depuis un serveur ; en cas de vol, une personne malveillante pourrait facilement compromettre le site Bomgar utilisé pour la générer. Si vous devez tout de même exporter une clé, assurez-vous d'y associer un mot de passe fort.

 

Sécurité :: Certificats :: Exportation

Pour prendre en compte les chaînes de certificat lors de l'exportation, choisissez l'exportation individuelle et cliquez sur Continuer pour voir les certificats sélectionnés. Pour chaque liste, vous pouvez indiquer le certificat ou la chaîne de certificats si disponibles. Cliquez sur Exporter pour démarrer le téléchargement.

 

Sécurité :: Certificats :: Sélectionner une action

Pour supprimer un ou plusieurs certificats, cochez la case correspondant à chacun des certificats souhaités, sélectionnez Supprimer dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

Remarque : en temps normal, un certificat ne doit en aucun cas être supprimé, sauf s'il a déjà été remplacé par un substitut fonctionnel.

 

Sécurité :: Certificats :: Supprimer

Pour confirmer l'exactitude, examinez les certificats que vous souhaitez supprimer, puis cliquez sur Supprimer.

 

Requêtes de certificats

Sécurité :: Requêtes de certificats

Consultez un tableau des demandes en attente pour les certificats signés par une tierce partie. Cliquez sur un nom de demande de certificat pour consulter les détails.

 

Sécurité :: Certificats :: Consulter une demande

La consultation des détails vous fournit également les données sur la demande que vous transmettrez à votre autorité de certificat préférée lors de la demande de certificat signé.

Remarque : si vous renouvelez un certificat, utilisez les mêmes données de demande de certificat que celles utilisées pour le certificat d'origine.

 

Sécurité :: Requêtes de certificats :: Sélectionner une action

Pour supprimer une ou plusieurs demandes de certificat, cochez la case correspondant à chacune des demandes souhaitées, sélectionnez Supprimer dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Requêtes :: Supprimer

Pour confirmer l'exactitude, examinez les demandes de certificat que vous souhaitez supprimer, puis cliquez sur Supprimer.

 

Clés

Sécurité :: Clés

Consultez un tableau des clés privées associées aux certificats et aux demandes de certificat sur votre serveur. Cliquez sur un nom de certificat ou un nom de demande lié pour consulter les détails sur cet élément associé.

 

Sécurité :: Clés :: Sélectionner une action

Pour exporter une ou plusieurs clés privées, cochez la case correspondant à chacune des clés souhaitées, sélectionnez Exporter dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Clés :: Exportation

Pour chaque clé privée que vous exportez, choisissez si vous souhaitez inclure un certificat associé. Si la clé s'applique à plus d'un certificat, sélectionnez celui à inclure. Les demandes de certificat ne peuvent pas être incluses dans l'exportation. Alternativement, sécurisez la clé privée à l'aide d'une phrase secrète. Cliquez sur Exporter pour démarrer le téléchargement.

 

Sécurité :: Clés :: Sélectionner une action

Pour supprimer une ou plusieurs clés privées, cochez la case correspondant à chacune des clés souhaitées, sélectionnez Supprimer dans le menu déroulant en haut du tableau, puis cliquez sur Appliquer.

 

Sécurité :: Clés :: Supprimer

Pour confirmer l'exactitude, examinez les clés privées que vous souhaitez supprimer, puis cliquez sur Supprimer.

Remarque : les clés associées à des certificats en cours d'utilisation (ceux disposant d'adresses IP) ne peuvent pas être supprimées.