Principes
Ce document concerne la sécurité de l’information au sein du réseau de votre établissement, entre les serveurs les postes clients.
Ce document concerne les établissements qui ne disposent pas d’un service Windows Active Directory et nécessite une intervention sur chaque poste client.
En suivant les étapes de ce document, vous pourrez sécuriser l’accès à vos plateformes et ainsi retirer les messages d’alertes de sécurité que vous rencontrez dans les navigateurs internet.
⚠️
La spécificité liée à chacun des navigateurs est à prendre en compte lors de l’utilisation de certificats auto-signés.
Nous vous invitons par conséquent à vous renseigner auprès de chacun d’entre eux pour les paramétrages d’utilisation
Périmètre technique
Un certificat est généré depuis une clé SSL. Il est ensuite signé par une autorité de certification.
Un certificat serveur est considéré comme sûr lorsque le poste client, peux attester qu’il a été signé par une autorité de confiance qu’il connaît. Nous ne disposons pas d’autorité de certification, nous allons donc signer le certificat avec lui même, et déployer ce certificat sur les postes clients.
Ici nous allons générer des fichiers avec l’adresse IP ou le nom du serveur concernée :
par exemple IP : 10.0.2.4
par exemple Nom : srv-pmsipilot
Autosignature du certificats (CSR) pour la plateforme PMSIpilot
Information
A partir de la version 11.28.1 le certificat auto-signé est basé sur un csr avec l’algorithme sha 256, il conviendra donc de passer directement à l’étape de Déploiement manuel du certificat nécessitant une intervention sur chaque poste client.
Etape 1 : Se connecter à l’outil Putty
Pour cela il faut se connecter sur le serveur soit directement par la console en root, soit en SSH à travers l’outil “putty” par exemple.
L’utilisateur pour se connecter doit utiliser l’identifiant suivant.
Login : pmsiuser
Mot de passe : Le mot de passe peut être demandé à l’équipe support.
Etape 2 : Générer les fichiers key et CSR
Une fois connecté vous pouvez générer le fichier key (clé privée chiffrée sans mot de passe) ainsi que le fichier csr (certificat non signé avec l’algorithme sha256) en utilisant la commande suivante :
openssl req -new -newkey rsa:2048 -nodes -sha256 -out pmsipilot-apache.csr -keyout pmsipilot-apache.key
Lors de cette étape, différentes questions vous seront posées afin de compléter la création de la CSR et qui apparaîtront dans le certificat SSL.
Astuce : Les caractères suivants ne sont pas acceptés : < > ~! @ # $ % ^ * / \ ( ) ? . , &
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [XX]:FR
State or Province Name (full name) []:France
Locality Name (eg, city) [Default City]:Lyon
Organization Name (eg, company) [Default Company Ltd]:PMSIpilot
Organizational Unit Name (eg, section) []:Team Industrialisation
Common Name (eg, your name or your server’s hostname) []:10.0.2.4
Email Address []:votre-adresse@domain.com
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Etape 3 : Auto-signer le certificat CSR avec un certificat x509 v3
Avant tout, nous allons créer un fichier d’extension afin de spécifier les paramètres nécessaires à la V3.
nano v3.ext
Dans lequel nous allons copier le texte suivant en effectuant un clique droit après l’avoir copié :
authorityKeyIdentifier=keyid,issuer
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=DNS:localhost,DNS:example.hostname.fr, IP:10.0.2.4 (A remplacer par vos valeurs)
Nous allons à présent générer le certificat en spécifiant ce fichier d’extension.
openssl x509 -req -sha256 -days 720 -extfile v3.ext -in pmsipilot-apache.csr -signkey pmsipilot-apache.key -out pmsipilot-apache.crt
Etape 4 : changer les fichiers de répertoire
Une fois la commande ci-dessous réalisée, vous vous retrouverez avec trois fichiers dans le répertoire /home/pmsiuser :
pmsipilot-apache.key
pmsipilot-apache.csr
pmsipilot-apache.crt
Nous allons les mettre dans le bon répertoire /etc/pmispilot/keys/.
Pour réaliser cette opération il faut être root en tapant la commande (Le mot de passe du compte root peut être demandé à l’équipe support) :
su –
Etape 5 : Sauvegarder et déplacer les fichiers
Nous allons sauvegarder les deux fichiers suivants (anciens certificats):
/etc/pmsipilot/keys/pmsipilot-apache.crt
/etc/pmsipilot/keys/pmsipilot-apache.key
Pour cela tapez la commande :
cp /etc/pmsipilot/keys/pmsipilot-apache.crt /etc/pmsipilot/keys/pmsipilot-apache.crt.bak
cp /etc/pmsipilot/keys/pmsipilot-apache.key /etc/pmsipilot/keys/pmsipilot-apache.key.bak
Puis placer pmsipilot-apache.crt et pmsipilot-apache.csr présents dans /home/pmsiuser dans /etc/pmsipilot/keys/ (pour remplacer les précédents):
mv /home/pmsiuser/pmsipilot-apache.* /etc/pmsipilot/keys/
Attribuez les bons droits aux fichiers en se connectant en root) :
chmod 400 /etc/pmsipilot/keys/pmsipilot-apache.???
chown apache: /etc/pmsipilot/keys/pmsipilot-apache.???
Une fois modifié, il faut que le serveur apache prenne en compte les modifications. Il faut donc redémarrer le service HTTPD avec la commande suivante :
/etc/init.d/httpd restart
Si tout s’est bien déroulé, vous pouvez supprimer les fichiers inutiles :
rm /etc/pmsipilot/keys/pmsipilot-apache.crt.bak -f
rm /etc/pmsipilot/keys/pmsipilot-apache.key.bak -f
Puis supprimer le fichier pmsipilot.csr :
rm /etc/pmsipilot/keys/pmsipilot-apache.csr -f
Déploiement manuel du certificat (CRT) généré sur les postes clients
Afin que le navigateur considère le certificat que vous avez généré comme sûr, il est nécessaire de l’importer dans les navigateurs internet de chaque poste client.
Vous pouvez récupérer le certificat grâce au logiciel WinSCP ou FileZilla avec les identifiants qui vous ont été communiqué dans la section “Auto-Signature du certificat”.
Remplissez les informations nécessaires pour vous connecter au serveur.
L’interface s’ouvre et présente les fichiers et répertoires des dossiers distants (droite) et locaux (gauche).
Glissez déposez le fichier pmsipilot.crt à gauche qui doit être un dossier accessible par vos postes clients. (Attention sur la capture ci-dessus les noms de fichiers ne correspondent pas. Ceci est à titre d’exemple).
Pour chaque poste client, importer le certificat en suivant la procédure adaptée :
Pour Internet Explorer :
Menu Options Internet/Contenu/Certificats/Autorités de certification racines de confiance.
Cliquez sur le bouton “Importer”.
Un assistant se lance, suivez les instructions afin de chercher le fichier crt.
Le magasin proposé est acceptable.(Autorité de certification racines de confiance).
Pour Firefox :
Menu Options/Avancé/Certificats/Afficher les certificats/Autorités.
Cliquez sur le bouton “Importer”.
Cochez “Confirmer cette AC pour identifier des sites Web”.
Cliquez sur “Ok” pour terminer.
Pour Chrome :
Menu Paramètres/Paramètres/Afficher les paramètres avancés/Gérés les certificats/Autorités de certification racines de confiance.
Cliquez sur le bouton “Importer”.
Suivez les instructions de l’assistant et importez le certificats CRT.
Votre autorité est déployée et a signé le certificat utilisé par la plateforme PMSIpilot. Les postes clients ne devraient plus émettre d’alerte de sécurité en accédant aux services.