Rechercher par mot-clé

You are here:
< Back

Didacticiel sur les certificats HTTPS et SSL

Fonctionnalités HTTPS et SSL de Jet Clouding

Le serveur Web fourni avec Jet Clouding peut gérer le protocole HTTPS, le cryptage SSL avec un certificat auto-signé ou un certificat CA délivré par une autorité de certification.

Le protocole HTTPS chiffre la communication entre le client et le serveur.

Le certificat unique, généré à partir d’une clé RSA 2048 bits, comprend la clé de cryptage et la certification du serveur ou du nom de domaine sur lequel l’utilisateur est connecté.

L’utilisateur est informé que la communication est cryptée et que le nom du serveur ou du domaine est certifié par une autorité de certification.
Cette information apparaît dans la barre d’adresse du navigateur, sous la forme d’un cadenas vert.

Dans ce didacticiel, nous allons apprendre à installer un certificat sur le serveur Web Jet Clouding, en fournissant aux utilisateurs la sécurité HTTPS, le cryptage SSL 2048 et la certification de nom de domaine.

Afin de recevoir un certificat SSL, nous vous recommandons de l’acheter auprès d’un fournisseur fiable, tel que GoDaddy ou DigiCert.

Suivez cette procédure pour commander et installer votre SSL sur la passerelle / serveur Jet Clouding.

Contenu du tutoriel

Certificats et processus de certification

  • Processus de certification
  • Les certificats
  • Certificats Propriétés
  • Avis important concernant la paire de clés (clé privée)

Comment faire une demande de certification et obtenir un certificat

  • Rappel – Processus de certification
  • Comment obtenir un certificat SSL
  • Comment générer ce dont j’ai besoin pour Jet Clouding?

Dépannage

  • J’ai reçu un seul fichier (.crt ou cer) contenant le certificat MydomainName.com
  • Ma clé privée est .pem. Je ne peux pas importer ma clé privée dans Portecle
  • Erreurs HTTPS
  • Avis concernant le serveur Web Jet Clouding et Microsoft IIS

 

1. Processus de certification

Les certificats sont délivrés par les autorités de certification (CA). C’est un processus en 3 étapes.

a) La génération d’une paire de clés ou d’une clé privée en RSA 2048 bits standard. Cette clé sera utilisée pour générer une demande d’autorité de certification basée sur celle-ci.

b) La demande de l’AC générée est transmise à l’autorité de certification. Il contient toutes les informations nécessaires pour que le fournisseur puisse délivrer un certificat (code de pays à 2 lettres, nom complet de l’État ou de la province, nom complet de la localité, nom de l’organisation, par exemple société, nom de l’unité de l’organisation, par exemple, section, adresse électronique valide et nom commun (CN). ) Par exemple, MyDomainName.com).

c) L’autorité de certification vérifie les informations que vous avez transmises et renvoie le certificat, ainsi que les certificats intermédiaires nécessaires pour accéder à votre certificat.
Le certificat contient également la réponse de l’autorité de certification (clé privée validée). Une fois que vous avez le certificat, la réponse de l’autorité de certification, sa paire de clés (clé privée) et les certificats intermédiaires, ils doivent être importés dans le magasin de clés géré par Jet Clouding.

2. Les certificats

La livraison contient généralement plusieurs fichiers. Chaque fichier est un certificat. Comme indiqué précédemment, l’autorité délivre le certificat de votre nom de domaine et des certificats intermédiaires indispensables pour accéder à votre certificat.

Le fichier de format commun est .cer ou .crt. Ces extensions sont reconnues par le système d’exploitation qui associe l’icône du certificat.

Dans notre exemple ci-dessus, nous avons reçu 4 fichiers (.crt). Les premier, deuxième et troisième sont des certificats intermédiaires (CARoot, TrustCA, DomainValidationCA).
Le quatrième est notre certificat qui certifie notre nom de domaine MyDomainName.crt. Ils doivent tous être installés ensemble.

Pour une meilleure compréhension de la procédure, examinons les certificats.

3. Propriétés des certificats

Les propriétés du certificat CA Root indiquent son chemin. Chaque certificat a un chemin d’accès de la racine au certificat de votre nom de domaine.

Les propriétés de notre certificat indiquent toutes les informations générales sur le certificat (objectifs, adresses, émises au CN), émises par et validité.
Ce qui est important à noter est le chemin de certification. Il comprend le chemin complet nécessaire pour accéder à notre certificat.
Il affiche tous les certificats intermédiaires inclus dans le nôtre.

Ceci est un processus simple. Vous devez importer l’intégralité de ce chemin de certification, ainsi que la paire de clés dans le fichier de stockage de clés Jet Clouding.

Utilisez le gestionnaire de certificats Windows pour importer la paire de clés et tous les certificats dans le fichier de clés Windows, comme indiqué dans la section Certificats et processus de certification (autorisez l’exportation de la paire de clés lors de l’importation!), Puis exportez cette clé à partir du fichier de clés Windows en cochant l’option “Inclure tous les certificats dans le chemin de certification si possible”. Pour le format, choisissez par exemple * .p12 Maintenant, créez un nouveau magasin de clés au format JKS sur Portecle, allez à Outils> Importer une paire de clés et importez ce fichier * .p12:

4. Avis important concernant la paire de clés (clé privée)

La paire de clés est la clé RSA 2048 bits générée pour la demande CA du certificat. Il a été généré dans l’add-on Portecle que nous fournissons ou avec un autre générateur disponible tel que openssl, IIS, des sites en ligne ou les applications du fournisseur d’autorité de certification.

Vous devez conserver cette clé privée. Il s’agit soit d’un fichier texte plat au format .pem non sécurisé, soit d’un format sécurisé .p12 ou .pfx.
La clé privée générée est obligatoire pour pouvoir générer les certificats correctement.

 

Comment faire une demande de certification et obtenir un certificat

Pour rappel, voici le processus de certification expliqué. Ce processus peut être effectué dans l’add-on Portecle que nous fournissons ou avec un autre générateur disponible tel que openssl, IIS, des sites en ligne ou des applications du fournisseur d’autorité de certification.

1. Rappel – Processus de certification

Les certificats sont délivrés par les autorités de certification (CA). C’est un processus en 3 étapes.

a) La génération d’une paire de clés ou d’une clé privée en RSA 2048 bits standard. Cette clé sera utilisée pour générer une demande d’autorité de certification basée sur celle-ci.

b) La demande de l’AC générée est transmise à l’autorité de certification. Il contient toutes les informations nécessaires au fournisseur pour délivrer un certificat (code de pays à 2 lettres, nom complet de l’État ou de la province, nom complet de la localité, nom de l’organisation, par exemple société, nom de l’unité de l’organisation, par exemple, section, adresse électronique valide et nom commun (CN), par exemple: MyDomainName.com).

Le travail principal consiste à créer la demande qui demandera correctement un formulaire demandant toutes les informations énumérées ci-dessus.

c) L’autorité de certification vérifie les informations que vous avez transmises et renvoie le certificat, puis éventuellement les certificats intermédiaires nécessaires pour accéder à votre certificat. Le certificat contient également la réponse de l’autorité de certification (clé privée validée). Une fois que vous avez le certificat, la réponse de l’autorité de certification, sa paire de clés (clé privée) et les certificats intermédiaires, ils doivent être importés dans le magasin de clés géré par Jet Clouding.

2. Comment générer une CSR (Certificate Signing Request)

Dans ce didacticiel, nous allons apprendre à installer un certificat sur le serveur Web Jet Clouding, en fournissant aux utilisateurs la sécurité HTTPS, le cryptage SSL 2048 et la certification de nom de domaine. Afin de recevoir un certificat SSL, nous vous recommandons de l’acheter auprès d’un fournisseur fiable, tel que GoDaddy ou DigiCert. Suivez cette procédure pour commander et installer votre SSL sur la passerelle / serveur Jet Clouding.

Pour créer une CSR avec l’utilitaire DigiCert, procédez comme suit:

Sur votre serveur Windows, téléchargez et enregistrez l’exécutable DigiCert Certificate Utility pour Windows (DigiCertUtil.exe).
Exécutez l’utilitaire de certificat DigiCert pour Windows (double-cliquez sur DigiCertUtil).
Dans l’utilitaire de certificats DigiCert pour Windows ©, cliquez sur SSL (verrou doré), puis sur Créer une CSR.

Sur la page Create CSR, entrez les informations suivantes ci-dessous, puis cliquez sur Generate:

Type de certificat: Sélectionnez SSL.
Nom commun: Entrez le nom de domaine complet (par exemple, www.example.com).
Autre nom du sujet: si vous demandez un certificat SAN, entrez le ou les SAN que vous souhaitez inclure (par exemple, www.example.com, www.example2.com et www.example3.net).
Organisation: Entrez le nom légalement enregistré de votre société (par exemple, VotreSociété, Inc.).
Département: (facultatif) Si vous le souhaitez, entrez le nom de votre département au sein de l’organisation ou vous pouvez simplement laisser la case vide.
Ville: Entrez la ville où votre entreprise est légalement située.
Etat: Utilisez la liste déroulante pour sélectionner l’état dans lequel votre société est légalement située.
Remarque: Si votre société est située en dehors des États-Unis, vous pouvez taper le nom approprié dans la zone.
Pays: Utilisez la liste déroulante pour sélectionner le pays où votre entreprise est légalement située.
Taille de la clé: dans la liste déroulante, sélectionnez 2048 (sauf si vous avez une raison spécifique d’utiliser une longueur de bit plus grande).
Fournisseur: dans la liste déroulante, sélectionnez Fournisseur cryptographique Microsoft RSA SChannel (sauf si vous avez un fournisseur cryptographique spécifique).

Dans la page © Création de CSR – Utilitaire de certificat DigiCert pour Windows, effectuez l’une des opérations suivantes, puis cliquez sur Fermer:

Cliquez sur Copier la CSR. Copie le contenu du certificat dans le Presse-papiers. Utilisez cette option si vous êtes prêt à coller la CSR dans le formulaire de commande DigiCert.
Remarque: étant donné que DigiCert Certificate Utility ne stocke pas les CSR, nous vous recommandons de coller la CSR dans un éditeur de texte (tel que le Bloc-notes) lorsque vous utilisez cette option.
Si vous fermez la page CSR et écrasez accidentellement le contenu du Presse-papiers sans le faire, vous devrez générer un nouveau CSR.

Cliquez sur Enregistrer dans un fichier. Enregistre la CSR en tant que fichier .txt sur Windows Server 2012. (Nous vous recommandons d’utiliser cette option.)

Utilisez un éditeur de texte (tel que le Bloc-notes) pour ouvrir le fichier. Copiez ensuite le texte, y compris les balises —– COMMENCEZ LA NOUVELLE DEMANDE DE CERTIFICAT —– et —– FIN DE LA NOUVELLE DEMANDE DE CERTIFICAT —–, puis collez-le dans le formulaire de commande DigiCert.

Après avoir reçu votre certificat SSL de DigiCert, vous pouvez utiliser l’utilitaire de certificats DigiCert pour Windows pour l’installer.

3. Comment générer ce dont j’ai besoin pour Jet Clouding ?

1) Ouvrez l’application DigiCert
a) cliquez sur SSL
b) Importez votre SSL
Vous verrez maintenant que le certificat que vous avez installé est mis en surbrillance:

En bas de l’interface graphique, vous verrez le bouton «Exporter le certificat», cliquez dessus.

Assurez-vous que «Oui, exporter la clé privée et le fichier pfx / Inclure tous les certificats dans le chemin de certification si possible sont cochés.

Ensuite, enregistrez le fichier dans le dossier avec les certificats que vous avez décompressés.

Vous devez utiliser le mot de passe “secret”.

4. Comment installer les certificats sur le serveur Web Jet Clouding ?

1) Copiez le fichier non compressé qui contient maintenant les fichiers .pfk et crt dans les fichiers de programme du serveur Program Files (x86) \ JetClouding \ Clients \ Webserver.
2) Faites une copie du cert.jks
3) À partir de la boîte à outils des certificats de la console d’administration Jet Clouding / Web / HTTPS / HTTPS / Fichier / Ouvrir le fichier de magasin de clés «cert.jks»
Le mot de passe est secret
Supprimez la paire de clés d’importation Outils jwts (vous la trouverez dans le dossier que vous venez de copier). Lorsque le nom d’alias vous est demandé, vous devez le

JWTS et le mot de passe secret

Outils Importer un certificat de confiance et importer le fichier de contrôle que vous avez dans le dossier.
Fermez l’outil et assurez-vous que le fichier cert.jks est enregistré avec le mot de passe secret.
Jet Clouding Admin Console / Web et redémarrez les services.
Vous avez maintenant terminé la procédure de certification SSL.

3) Problèmes

1. J’ai reçu un seul fichier (.crt ou cer) contenant le certificat MydomainName.com.

Regardez le chemin dans les propriétés du certificat. Si votre certificat est à la racine, vous n’avez pas de certificat intermédiaire.
Vous ne devez importer que le fichier .cer ou crt que vous avez reçu.

Si le chemin contient d’autres certificats intermédiaires, ils seront nécessaires. Vous pouvez exporter ces certificats inclus dans le vôtre et créer un fichier par certificat.

Vous pouvez exporter chaque certificat répertorié dans le chemin et obtenir un fichier par certificat.

Double-cliquez sur le certificat que vous souhaitez exporter. Ensuite, allez dans Détails / Copier dans un fichier.

Cliquez sur Suivant. Les valeurs par défaut sont ok. Cliquez sur Suivant jusqu’à ce que vous deviez donner un nom. Confirmez votre exportation.
Le résultat est un fichier .cer contenant uniquement le certificat exporté. Répétez cette exportation pour chaque niveau du chemin.

2. Ma clé privée est .pem. Je ne peux pas importer ma clé privée dans Portecle

Vous pouvez convertir votre fichier .pem au format pfx avec des outils ou des sites en ligne. Par exemple, sur ce site: https://www.sslshopper.com/ssl-converter.html

Vous devez avoir votre clé privée et votre certificat (par exemple, MyDomainName.com).

Naviguez pour sélectionner le certificat à convertir et la clé privée qui va avec. Le type de certificat actuel est PEM. Le type à convertir est PFX (PKCS # 12).
Le format .pfx étant un format sécurisé, vous devez entrer un mot de passe. Vous pouvez choisir ce que vous voulez, mais vous devrez au moins le régler sur “secret”.
Donc, vous devriez entrer le mot de passe ‘secret’.

Le résultat est un format .pfx que vous pourrez importer dans Portecle. Comme nous l’avons vu dans la section installation, cette clé privée importée dans Portecle doit recevoir une réponse de l’autorité de certification. Voir la section Installation / Réponse de l’autorité de certification pour plus d’informations.

3. Erreurs HTTPS

Erreur SSL, aucun chiffrement ne se chevauche.

La clé privée ou la paire de clés n’a pas été importée dans cert.jks ou n’est pas valide. Les autres types d’erreur donnent le même écran avec un autre code d’erreur.
Jetez un oeil à cette erreur de code. Cela concerne le certificat et quelque chose qui ne va pas.
C’est généralement parce que l’un des champs du certificat n’est pas valide ou vide. Jetez un oeil à votre certificat Propriétés et demande.
Vérifiez que tous les champs sont corrects. Reportez à la section comment faire une demande pour plus d’informations.

4. Avis concernant le serveur Web Jet Clouding et Microsoft IIS

Veuillez vous reporter à notre documentation sur l’utilisation d’IIS avec Jet Clouding.

Cependant, voici quelques informations importantes sur IIS et les certificats:

Lorsque vous utilisez IIS, le certificat doit être installé dans le fichier de clés cert.jks. Cela doit être fait de la même manière que si nous utilisions le serveur Web Jet Clouding, et comme décrit dans le chapitre précédent.

Ne liez pas le port HTTPS 443 dans IIS, car il s’agit du serveur Web Jet Clouding qui gère le protocole HTTPS, le certificat et son chiffrement.
Aucune liaison ne doit être créée sur le port 443. Ainsi, IIS ne doit avoir que le port 81 lié.

Nous sommes libres d’utiliser l’outil de demande IIS pour créer la clé privée et la demande de l’autorité de certification. Il est simple d’exporter la clé privée à partir d’IIS (IIS / Site par défaut / Certificats) au format .pfx et de l’importer sous cert.jks comme décrit dans le chapitre précédent.

F
F
?