4.6.5. Certificat
Ce menu vous permet de modifier le certificat utilisé par le serveur KWARTZ pour l'ensemble des connexions sécurisées:
- intranet et extranet. Voir Mode sécurisé
- la messagerie
- KWARTZ~Control et l' Interface de configuration des responsables
4.6.5.1. Certificat installé
4.6.5.1.1. Types de certificat
Vous pouvez utiliser plusieurs types de certificat pour mettre en place l'accès sécurisé:
- un certificat auto-signé. Ce type de certificat est installé par défaut.
- un certificat obtenu auprès de Let’s Encrypt
- un certificat signé par une autre autorité de certification (CA).
L'autorité de certification a la responsabilité de confirmer l’identité du propriétaire du site Web ou de l’organisation.
Un certificat auto-signé n'est pas reconnu par les navigateurs. Ils affichent généralement un avertissement de sécurité indiquant que l'autorité de certification n'est pas reconnue. Il n'offre aucune garantie sur l'identité de l'organisation qui envoie les pages Web au navigateur.
En revanche, un certificat signé par une autorité reconnue offre ces deux fonctions importantes pour un serveur sécurisé. L'obtention d'un certificat signé est généralement payant.
Let’s Encrypt offre la possibilité d'obtenir un certificat approuvé de façon gratuite.
4.6.5.1.2. Validité
Un certificat est émis pour une période définie.
Les certificats auto-signés de KWARTZ sont valables 5 ans.
Les certificats obtenus auprès de Let’s Encrypt ont une validité de 90 jours mais sont automatiquement renouvelés.
4.6.5.1.3. Obtenir un certificat auprès de Let’s Encrypt
Pour demander ce certficat, il faut permettre à Let’s Encrypt de valider le domaine.
Pour cela il faut:
- utiliser un nom DNS public pour le serveur.
- permettre au service Let’s Encrypt de se connecter au serveur KWARTZ via ce nom sur le port 80.
Cela nécessite généralement de rediriger le port 80 SUR VOTRE ROUTEUR vers l'extranet du KWARTZ sur le port 8080.
Pour plus d'informations, voir https://letsencrypt.org/fr/how-it-works/
4.6.5.1.4. Obtenir un certificat signé par une autre autorité de certification
Voici un rapide aperçu de la procédure d'obtention d'un certificat auprès d'une autorité de certification.
- Choisir son autorité de certification
- Créez une demande de certificat par la fonction Génération d'une demande de certificat
- Effectuez la demande de certificat auprès de l'autorité. Vous devez indiquer comme type de serveur apache+mod_ssl
- Lorsque l'autorité de certification a vérifié que vous êtes bien qui vous prétendez être, elle vous envoie un certificat numérique.
- Installez ce certificat sur votre serveur par la fonction Installer un certificat signé
Remarque: il vaut mieux d'abord demander un certificat de test auprès de l'autorité afin de valider la compatibilité avec le serveur KWARTZ.
4.6.5.2. Opérations sur les certificats
4.6.5.2.1. Obtenir un certificat Let's Encrypt
vous devez indiquer le nom du domaine qui sera utilisé pour accéder au serveur.
Il doit être résolu sur l'adresse IP publique utilisée pour se connecter au serveur.
Cliquez sur Obtenir le certificat. Le serveur KWARTZ vérifie
- que ce nom est bien résolu sur un DNS public
- effectue une simulation de la demande de certificat
- effectue la demande du certficat définitif.
Le certificat obtenu est valable 90 jours et sera automatiquement renouvelé au bout de 60 jours.
Si le certificat a déjà été obtenu et reste valide plus de 30 jours, la demande ne sera pas envoyée.
Le certificat obtenu doit ensuite être installé sur le serveur par la fonction Installer un certificat signé
La demande peut échouer notamment si les services Let’s Encrypt ne peuvent se connecter au serveur KWARTZ sur le port 80 pour valider le domaine. Un message d'erreur indiquant Timeout during connect (likely firewall problem) est alors renvoyé.
Laisser vide le champ Adresse du serveur pour désactiver le renouvellement du certificat.
4.6.5.2.2. Génération d'une demande de certificat
Cette fonction vous permet de générer la demande de certificat (CSR) à fournir à l'autorité de certification autre que Let's Encrypt.
La demande de certificat contient des informations sur votre serveur et la société qui l'héberge.
Vous devez indiquer le contenu du certificat:
- le nom du pays
- le nom de votre organisation (par défaut, le nom d'utilisateur de la clé KWARTZ)
- la région/département
- la ville
- le nom du serveur à sécuriser
ATTENTION: Ce nom doit correspondre exactement à l'adresse utilisée pour accéder au site.
Les informations à fournir sont disponibles dans le champ Demande de certificat. Cette demande est liée au serveur (et la clé privée) sur lequel elle a été générée.
Remarque: Générer une demande de certificat ne modifie pas le certificat installé.
4.6.5.2.3. Installer un certificat signé
Cette fonction vous permet d'installer le certificat obtenu auprès d'une autorité de certification.
Vous devez confirmer que vous voulez remplacer le certificat existant.
Si un certificat Let's Encrypt a été obtenu, le serveur vous propose de l'installer
Le serveur vous précise aussi si ce certificat est déjà installé.
Vous pouvez aussi cliquer sur Installer un certificat signé par une autre autorité...
Il faut alors sélectionner le fichier via le bouton Parcourir....
Vous devez choisir un fichier .crt ou .p12:
- le fichier .crt doit correspondre à la clé privée installée sur le serveur.
- le fichier .p12 contient à la fois une clé privée et le certificat. Il est nécessaire de préciser un mot de passe pour extraire cette clé privée.
Puis, cliquez sur Installer le certificat....
Le résultat de l'installation est alors affiché.
4.6.5.2.4. Réinstaller un certificat auto-signé
Cette fonction vous permet de réinstaller un certificat auto-signé notamment si celui installé n'est plus valide.
Vous devez confirmer que vous voulez remplacer le certificat existant.
Le résultat de l'installation est alors affiché.