Installer un certificat d’autorité sur Astaro

Sur une appliance Astaro, pardon Sophos, vous pouvez installer un certificat signé par une autorité afin de sécuriser certains services, comme notamment le Web Application Security. Plus encore, il vous sera possible de créer par le Web Application Security un portail d’entrée SSL pour tous les serveurs Web hébergés derrière votre pare-feu. Par exemple, si vous avez un webmail qui s’exécute sur le port 80 et n’est donc pas sécurisé (et qui sera classé dans les Real WebServers), vous pouvez le protéger en créant un Virtual WebServer qui lui sera en SSL. Ce serveur Web virtuel sera joué par l’UTM sur lequel vous aurez installé le certificat SSL signé. Assez cool, en fait.

Pour commencer, il faut créer le CSR (Certificate Signing Request). Vous pouvez le faire sur l’Astaro/Sophos directement si vous le voulez. Loguez-vous en loginuser, c’est suffisant. Et vous pouvez le faire sur votre Mac aussi évidemment, de toute façon il faudra SCP le fichier entre l’Astaro et le Mac ou l’inverse. La commande pour générer le CSR est :

openssl req –config ./openssl.config –new –newkey rsa:2048 –out server.key

Ensuite, il vous demande les informations habituelles (Organization, City, etc.). Attention le Common name doit être le domaine pour lequel vous demandez le certificat.

Ensuite vous devrez aller sur le site d’une autorité de certificat (GoDaddy étant de loin les plus sexy si vos critères sont purement esthétiques), là vous soumettrez votre CSR (attention comme toujours aux espaces non voulus dans les certificats). L’autorité de certificat, vous donnera ensuite un certificat et un ou deux certificats intermédiaires, c’est de mise maintenant afin d’accroitre la sécurité. Enfin, vous ferez de ces différents fichiers un fichier pkcs#12, le format est primordial pour l’Astaro.

openssl pkcs12 -export -out /Users/me/certificate/certificate.pfx -inkey /Users/me/certificate/server.key -in /Users/me/certificate/monnom.de.domaine.crt -certfile /Users/me/certificate/bundle.crt

Dans cet exemple, vous noterez que les certificats intermédiaires sont à la fin de la commande. Le CSR et le certificat correspondant au nom de domaine en premier.

Normalement, OpenSSL vous demande le mot de passe que vous avez choisi pour le certificat. Il ne vous reste plus qu’à copier le CSR sur l’Astaro si vous l’avez créé sur votre Mac, par exemple en suivant la commande précédente :

scp -r -p /Users/me/certificate/server.key loginuser@192.168.x.x:/home/login

On vous demande le mot de passe, et hop, le fichier CSR (en l’occurrence ici un .key) est copié sur l’Astaro.

Il ne vous reste plus qu’à vous loguer sur l’interface WebAdmin et dans /Remote Access/Certificate Management/Certificate Authority vous allez importer le certificat signé. Un redémarrage de l’UTM est préférable.

Ensuite vous pourrez sélectionner votre certificat pour le Mail Security ou pour le Web Application Security ou pour d’autres services encore.

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

thไทย