L’objectif de ce document est de vous communiquer les éléments nécessaires à l’intégration sécurisée de la plateforme BI ou PlaniPSY au sein de votre établissement.
Ce document s’adresse au service informatique de votre établissement, qui dispose d’un accès aux serveurs, ainsi qu’au différents équipements réseau.
Ce document concerne la sécurité de l’information au sein du réseau de votre établissement, entre le serveur dédié à BI (PlaniPSY) et les postes clients.
Ce document concerne les établissements qui disposent d’un service Windows Active Directory auquel les postes clients sont connectés.
En suivant les étapes de ce document, vous pourrez sécuriser l’accès à la plateforme et ainsi, retirer les messages d’alertes de sécurité que vous rencontrez dans les navigateurs internet.
Cette documentation se limite à Windows server 2012.
Pourquoi installer les services de certificats Active Directory ?
Les services de certificats Active Directory permettent de sécuriser l’accès à des services par vos postes clients par l’intermédiaire de certificats de sécurité.
Cela se déroule en 4 étapes :
- Génération et export du certificat PMSIpilot non signé
- Signature du certificat par l’autorité de confiance des services de certificat
- Déploiement de l’autorité de confiance sur les postes clients (Par GPO).
- Import du certificat signé dans PMSIpilot
Comment déterminer si les services de certificats Active Directory sont installés ?
Le tableau de bord du “gestionnaire de serveurs” vous présente un résumé des rôles et services installés.
Les services de certificats Active Directory sont nommés “AD CS”.
Comment installer les services de certificats Active Directory ?
Pour installer cette fonctionnalité ouvrez le gestionnaire de serveur.
Cliquez sur “Ajouter des rôles et des fonctionnalités”, suivez l’assistant, afin d’effectuer une Installation basée sur un rôle ou une fonctionnalité, sur votre serveur.
Lors de la sélection des rôles du serveur, sélectionnez “Services de certificats Active Directory”.
L’écran suivant détaille le fonctionnement des services de certificats, et est uniquement informatif, vous pouvez cliquer sur “Suivant”
Afin d’émettre des certificats de confiance, cochez la case “Autorité de certification” lors de la sélection des services du rôle.
Un dernier écran valide votre sélection avant installation. Vérifiez bien que cela corresponde à ce que vous voulez mettre en place. Redémarrez le serveur après installation.
Une fois le rôle installé, il est nécessaire de configurer services de certificats Active Directory
Un écran vous informe que vous devez être Administrateur du serveur afin d’effectuer l’opération de configuration.
Une fenêtre vous présente les rôles ou fonctionnalités que vous devez configurer.
Sélectionnez “Autorité de certification”, avant de passer à l’écran suivant.
Vous devez spécifier le type d’installation de l’Autorité de Certification, dans un contexte de parc informatique géré par un Active Directory, il convient de choisir “Autorité de certification d’entreprise” :
Dans de document, nous créons une Autorité de certification racine, car aucune autorité de certification n’existe déjà :
Il est nécessaire de créer une clé de cryptographie privée qui va sécuriser l’autorité de certification :
Choisir comme chiffrement SHA256 (obligatoire depuis la version 11.28.1, le certificat auto-signé est basé sur un csr avec l’algorithme sha 256). Il est possible de prendre également le SHA512.
L’écran suivant, qui vous permet de nommer votre Autorité de certification, est pré rempli de valeurs acceptables :
Choisissez une durée de validité, n’entrez pas une valeur inférieure à une ou deux années :
L’écran suivant vous permet de spécifier l’emplacement des base de données de l’autorité de certification, vous pouvez laisser les valeurs par défaut.
Un dernier écran résume l’ensemble de la configuration, vérifiez les paramètres et cliquez sur “Configurer”.
A cet instant vous avez une autorité de certification valide et fonctionnelle
Pourquoi déployer l’autorité de certification ?
Il est nécessaire de déployer l’autorité de certification sur les postes clients, afin qu’il puissent faire confiance, aux certificats de sécurité intégrés à la plateforme PMSIpilot BI qui ont été certifiés.
Sauvegarde de l’autorité de certification
Il faut ouvrir le gestionnaire de serveurs, puis sélectionner les services de certificats Active directory (AD CS) à gauche.
Cliquez droit sur le serveur Active Directory et sélectionnez “Autorité de certification”. Le gestionnaire de services de certificats se lance.
Pour déployer cette autorité de certification il faut récupérer son certificat en cliquant “Sauvegarder l’autorité de certification”.
Un assistant se lance, suivez les étapes de l’assistant qui vous posera quelques questions simples. (L’emplacement de la sauvegarde).
Puis sélectionnez les éléments à sauvegarder “clé privée et certificat d’autorité de certification”.
Mettez un mot de passe afin de sécuriser l’accès à cette autorité de certification, vous en aurez besoin pour importer le fichier.
Validez la sauvegarde.
Vous voilà en possession d’un fichier contenant votre autorité de certification : mondomaine-WINAD-CA.p12
Déploiement de l’autorité de certification par GPO
Pour cela vous devez lancer le gestionnaire des stratégies de groupe, dans le menu “Outils” du gestionnaire de serveur.
Vous devez créer une nouvel objet de stratégie avec un nom :
Le modifier afin de compléter sa configuration :
L’éditeur de GPO s’ouvre :
Ouvrez le menu contextuel sur “Autorités de certification racines de confiances” dans Configuration ordinateur/Stratégies/Paramètres Windows/Stratégie de clé publique et choisissez “Importer”.
Un assistant vous permet de sélectionner le certificat précédemment enregistré, pour l’intégrer à la GPO.
Tapez à nouveau le mot de passe que vous avez choisi précédemment.
Votre certificat est prêt à être déployé sur vos postes Windows intégrés au domaine de votre Active Directory.
Afin que la GPO soit prise en compte par vos postes clients Windows il faut que ceux-ci se déconnectent et se reconnectent au domaine Windows.
Vous pouvez vérifier le déploiement de cette GPO, le certificat de l’autorité de confiance est présent dans le magasin. En lançant Internet Explorer, Options Internet/Contenu/Certificats/Autorité de certification racines de confiance.
Voici les différentes étapes nécessaire pour la génération des certificats clé (key) et de requête de signature(csr).
Étape 1 : Se connecter à l’outil Putty
Pour cela il faut se rendre en SSH sur le serveur à travers l’outil “putty” par exemple.
Le compte a utilisé :
Login : pmsiuser
mot de passe : Le mot de passe peut être demandé à l’équipe support.
Étape 2 : Générer les fichiers key et CSR
Une fois connecté en pmsiuser vous pouvez générer le fichier key (clé privée chiffrée sans mot de passe) ainsi que le fichier csr (certificat non signé avec l’algorithme sha256) avec la commande suivante :
openssl req -new -newkey rsa:2048 -nodes -sha256 -out pmsipilot-apache.csr -keyout pmsipilot-apache.key
Lors de cette étape, différentes questions vous seront posées afin de compléter la création de la CSR et qui apparaîtront dans le certificat SSL.
Les caractères suivants ne sont pas acceptés : < > ~! @ # $ % ^ * / \ ( ) ? . , &
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‘.’, the field will be left blank. ------ Country Name (2 letter code) [XX]:FR State or Province Name (full name) [ ]:France Locality Name (eg, city) [Default City]:Lyon Organization Name (eg, company) [Default Company Ltd]:PMSIpilot Organizational Unit Name (eg, section) [ ]:Team Industrialisation Common Name (eg, your name or your server’s hostname) [ ]:10.0.2.4 Email Address [ ]:votre-adresse@domain.com Please enter the following ‘extra’ attributes to be sent with your certificate request A challenge password [ ]: An optional company name [ ]:
N’entrez pas de mot de passe.
Étape 3 : Signature des certificats avec votre Active Directory
Ces deux fichiers pmsipilot-apache.key et pmsipilot-apache.csr, nous devons les signer avec votre autorité Active Directory.
Pour cela placez le fichier (csr) à un endroit accessible par votre serveur Active Directory.
Vous pouvez utiliser winscp ou FileZilla.
L’utilisateur pour se connecter est pmsiuser (Le mot de passe du compte root peut être demandé à l’équipe support).
L’interface s’ouvre et présente les fichiers et répertoires des dossiers distants (droite) et locaux (gauche).
Glissez déposez le fichier pmsipilot.csr à gauche qui doit être un dossier accessible par votre Serveur Active Directory.
Puis lancez la commande sous dos ou powershell :
certreq -submit -attrib "CertificateTemplate:WebServer" X:\cheminComplet\pmsipilot-apache.csr
Enregistrez le certificat signé : pmsipilot-apache.crt et copiez-le en utilisant WinSCP sur le serveur dans /home/pmsiuser.
Etape 4 : changer les fichiers de répertoire
Une fois la commande de l’étape 3 réalisée, vous vous retrouverez avec trois fichiers dans le répertoire /home/pmsiuser :
- pmsipilot-apache.key
- pmsipilot-apache.csr
- pmsipilot-apache.crt
Nous allons les déplacer dans le bon répertoire /etc/pmispilot/keys/
Pour réaliser cette opération il faut être root. Tapez la commande su – puis indiquez le mot passe du compte root.
Etape 5 : Sauvegarder et déplacer les fichiers
Nous allons sauvegarder les deux fichiers ci-dessous (anciens certificats) :
- /etc/pmsipilot/keys/pmsipilot-apache.crt
- /etc/pmsipilot/keys/pmsipilot-apache.key
Pour cela tapez la commande pour chaque certificats :
cp /etc/pmsipilot/keys/pmsipilot-apache.crt /etc/pmsipilot/keys/pmsipilot-apache.crt.bak
et
cp /etc/pmsipilot/keys/pmsipilot-apache.key /etc/pmsipilot/keys/pmsipilot-apache.key.bak
Puis placer pmsipilot-apache.crt et pmsipilot-apache.csr présents dans /home/pmsiuser dans /etc/pmsipilot/keys/ (pour remplacer les précédents) :
mv /home/pmsiuser/pmsipilot-apache.* /etc/pmsipilot/keys/
Attribuez les bons droits aux fichiers :
chmod 400 /etc/pmsipilot/keys/pmsipilot-apache.???
chown apache: /etc/pmsipilot/keys/pmsipilot-apache.???
Etape 6 : Redémarrer et supprimer les fichiers inutiles
Une fois modifié il faut que le serveur apache tienne compte les modifications en redémarrant le service HTTPD avec la commande suivante :
/etc/init.d/httpd restart
Si tout c’est bien déroulé, vous pouvez supprimer les fichier inutiles :
rm /etc/pmsipilot/keys/pmsipilot-apache.crt.bak -f
rm /etc/pmsipilot/keys/pmsipilot-apache.key.bak -f
Puis supprimer le fichier pmsipilot.csr :
rm /etc/pmsipilot/keys/pmsipilot-apache.csr -f