Sur une appliance Astaro, pardon Sophos, vous pouvez installer un certificat sign\u00e9 par une autorit\u00e9 afin de s\u00e9curiser certains services, comme notamment le Web Application Security. Plus encore, il vous sera possible de cr\u00e9er par le Web Application Security un portail d’entr\u00e9e SSL pour tous les serveurs Web h\u00e9berg\u00e9s derri\u00e8re votre pare-feu. Par exemple, si vous avez un webmail qui s’ex\u00e9cute sur le port 80 et n’est donc pas s\u00e9curis\u00e9 (et qui sera class\u00e9 dans les Real WebServers), vous pouvez le prot\u00e9ger en cr\u00e9ant un Virtual WebServer qui lui sera en SSL. Ce serveur Web virtuel sera jou\u00e9 par l’UTM sur lequel vous aurez install\u00e9 le certificat SSL sign\u00e9. Assez cool, en fait.<\/p>\n
Pour commencer, il faut cr\u00e9er le CSR (Certificate Signing Request). Vous pouvez le faire sur l’Astaro\/Sophos directement si vous le voulez. Loguez-vous en loginuser, c’est suffisant. Et vous pouvez le faire sur votre Mac aussi \u00e9videmment, de toute fa\u00e7on il faudra SCP le fichier entre l’Astaro et le Mac ou l’inverse. La commande pour g\u00e9n\u00e9rer le CSR est :<\/p>\n
openssl req \u2013config .\/openssl.config \u2013new \u2013newkey rsa:2048 \u2013out server.key<\/strong><\/em><\/p><\/blockquote>\n
Ensuite, il vous demande les informations habituelles (Organization, City, etc.). Attention le Common name doit \u00eatre le domaine pour lequel vous demandez le certificat.<\/p>\n
Ensuite vous devrez aller sur le site d’une autorit\u00e9 de certificat (GoDaddy \u00e9tant de loin les plus sexy si vos crit\u00e8res sont purement esth\u00e9tiques), l\u00e0 vous soumettrez votre CSR (attention comme toujours aux espaces non voulus dans les certificats). L’autorit\u00e9 de certificat, vous donnera ensuite un certificat et un ou deux certificats interm\u00e9diaires, c’est de mise maintenant afin d’accroitre la s\u00e9curit\u00e9. Enfin, vous ferez de ces diff\u00e9rents fichiers un fichier pkcs#12, le format est primordial pour l’Astaro.<\/p>\n
openssl pkcs12 -export -out \/Users\/me\/certificate\/certificate.pfx -inkey \/Users\/me\/certificate\/server.key -in \/Users\/me\/certificate\/monnom.de.domaine.crt -certfile \/Users\/me\/certificate\/bundle.crt<\/strong><\/em><\/p><\/blockquote>\n
Dans cet exemple, vous noterez que les certificats interm\u00e9diaires sont \u00e0 la fin de la commande. Le CSR et le certificat correspondant au nom de domaine en premier.<\/p>\n
Normalement, OpenSSL vous demande le mot de passe que vous avez choisi pour le certificat. Il ne vous reste plus qu’\u00e0 copier le CSR sur l’Astaro si vous l’avez cr\u00e9\u00e9 sur votre Mac, par exemple en suivant la commande pr\u00e9c\u00e9dente :<\/p>\n
scp -r -p \/Users\/me\/certificate\/server.key loginuser@192.168.x.x:\/home\/login<\/strong><\/em><\/p><\/blockquote>\n
On vous demande le mot de passe, et hop, le fichier CSR (en l’occurrence ici un .key) est copi\u00e9 sur l’Astaro.<\/p>\n
Il ne vous reste plus qu’\u00e0 vous loguer sur l’interface WebAdmin et dans \/Remote Access\/Certificate Management\/Certificate Authority vous allez importer le certificat sign\u00e9. Un red\u00e9marrage de l’UTM est pr\u00e9f\u00e9rable.<\/p>\n
Ensuite vous pourrez s\u00e9lectionner votre certificat pour le Mail Security ou pour le Web Application Security ou pour d’autres services encore.<\/p>\n","protected":false},"excerpt":{"rendered":"
Sur une appliance Astaro, pardon Sophos, vous pouvez installer un certificat sign\u00e9 par une autorit\u00e9 afin de s\u00e9curiser certains services, comme notamment le Web Application Security. Plus encore, il vous sera possible de cr\u00e9er par le Web Application Security un portail d’entr\u00e9e SSL pour tous les serveurs Web h\u00e9berg\u00e9s derri\u00e8re votre pare-feu. Par exemple, si […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[6],"tags":[12,22,45,63,68],"class_list":["post-1462","post","type-post","status-publish","format-standard","hentry","category-solution-securite","tag-astaro","tag-cli","tag-mailserver","tag-sophos","tag-sysadmin"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"jetpack_publicize_connections":[],"_links":{"self":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts\/1462","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/comments?post=1462"}],"version-history":[{"count":0,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts\/1462\/revisions"}],"wp:attachment":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/media?parent=1462"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/categories?post=1462"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/tags?post=1462"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}