Altova MobileTogether Server

SSL nécessite l'installation d'une clé privée sur MobileTogether Server. Cette clé privée sera utilisée pour chiffrer toutes les données envoyées aux applis MobileTogether Client. Pour créer la clé privée, utiliser la commande OpenSSL suivante :

openssl genrsa -out private.key 2048

Cela permet de créer un fichier appelé private.key, qui contient votre clé privée. Veuillez noter l'endroit où vous avez enregistré le fichier. Il vous faudra la clé privée pour : (i) générer la Demande de signature de certificat (CSR), voir l'étape 2 ci-dessous ; (ii) pour l'installation sur MobileTogether Server (voir l'étape 8 ci-dessous).

Une Demande de signature de certificat (CSR) est envoyée à une autorité de certification (AC), comme DigiCert ou Thawte, pour demander un certificat de clé publique. La CSR est basée sur votre clé privée (obtenue à l'étape 1 ci-dessus) et contient des informations concernant votre entreprise. Créer une CSR avec la commande OpenSSL suivante (qui fournit, en tant que l'un de ses paramètres, le fichier de clé privée, private.key, qui a été créé à l'étape 1) :

openssl req -new -nodes -key private.key -out my.csr

Pendant la génération de la CSR, vous devrez fournir des informations concernant votre entreprise, voir la liste ci-dessous. Ces informations seront utilisées par l'autorité de certification pour vérifier l'identité de votre entreprise.

•Pays

•Lieu (la ville dans laquelle se trouve l'entreprise)

•Organisation (le nom de l'entreprise). Veuillez ne pas utiliser de caractères spéciaux, ils rendront votre certificat invalide

•Nom commun (le nom DNS de votre serveur). Il doit correspondre exactement au nom officiel de votre serveur, donc, au nom DNS que les applis client utiliseront pour se connecter au serveur

•Un mot de passe challenge. Laisser cette entrée vide !

Acheter un certificat SSL auprès d'une autorité de certification reconnue (AC), comme DigiCert ou Thawte. Pour le reste de ces instructions, nous suivons la procédure VeriSign. La procédure avec d'autres AC est similaire.

•Aller sur le site Internet DigiCert.

•Achetez un certificat SSL. Plusieurs types de certificats SSL sont disponibles. Pour MobileTogether Server, les certificats Basic SSL ou Secure Site sont suffisants. EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne voient pas de "barre d'adresse verte" dans in MobileTogether Server.

•Suivez le processus d'enregistrement et remplissez les informations nécessaires pour passer votre commande.

•Lorsque vous serez invité à saisir votre CSR (créé dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande.

•Payez le certificat avec votre carte de crédit.

Votre autorité de certification complétera le processus d'enregistrement dans les deux à trois jours ouvrables suivants. Pendant ce temps, vous recevrez éventuellement des messages électroniques ou des appels téléphoniques vous demandant de contrôler si vous êtes autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec les autorités pour achever le processus.

Une fois le processus d'autorisation et d'inscription complété, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. La clé publique sera en texte brut ou attachée en tant que fichier pem file ou .cer.

Pour une utilisation avec MobileTogether Server, la clé publique doit être sauvegardée dans un fichier .pem. Si la clé publique a été fournie en tant que texte, copier-coller toutes les lignes depuis

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

dans un fichier texte que nous appellerons mycertificate.cer.

Pour terminer votre certificat SSL, il vous faudra deux certificats supplémentaires : les certificats intermédiaires primaires et secondaires. Votre autorité de certification (AC) recensera le contenu des certificats intermédiaires sur son site web ou elle vous permettra de télécharger les certificats. Dans certains cas, il n'y aura qu'un certificat intermédiaire. Si vous avez une option concernant le format du fichier, choisissez le format .pem, qui est un format encodé Base64.

Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés puis les enregistrer sur votre ordinateur. En alternative, si vous n'avez q'un certificat intermédiaire, enregistrez-ceci dans un seul fichier.

Vous détenez maintenant trois fichiers de certificats :

•Clé publique (mycertificate.cer) créée à l'étape 5.

•Certificat intermédiaire secondaire, obtenu à l'étape 6.

•Certificat intermédiaire primaire, obtenu à l'étape 6.

Note : en alternative, vous n'aurez qu'un seul fichier de certificat intermédiaire.

Chaque fichier contient des blocs de texte délimités par des lignes comme dans l'exemple ci-dessous :

--BEGIN CERTIFICATE--

 ...

--END CERTIFICATE--

Maintenant, copier-coller les trois (ou les deux) certificats dans un fichier de manière à ce qu'ils forment une séquence. L'ordre de la séquence est important : (i) clé publique, (ii) certificat intermédiaire secondaire, (iii) certificat intermédiaire primaire. Veuillez vous assurer qu'il n'y a pas de lignes entre les certificats.

--BEGIN CERTIFICATE--

clé publique de mycertificate.cer (voir étape 5)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

certificat intermédiaire secondaire (voir étape 6)

--END CERTIFICATE--

--BEGIN CERTIFICATE--

certificat intermédiaire primaire (voir étape 6)

--END CERTIFICATE--

Enregistrer le texte de certificat combiné dans un fichier nommé publickey.pem . Il s'agit du fichier de certificat à clé publique de votre certificat SSL. Il comprend votre certificat de clé publique ainsi que la chaîne de confiance complète sous la forme des certificats intermédiaires qui étaient utilisés par l'AC pour signer votre certificat. Le fichier de certificat de clé publique sera installé sur MobileTogether Server avec la clé privée (voir étape 8).

Le certificat SSL est un ensemble de certificats enregistrés dans les fichiers suivants :

•private.key: contient le certificat de clé privée

•publickey.cer: contient le certificat de clé publique et les certificats intermédiaires de l'AC (voir l'étape 7)

Pour installer les certificats SSL sur MobileTogether Server, suivre les étapes suivantes :

•Se connecter à l'UI de MobileTogether Server (par défaut sur le port 8085 de votre serveur).

•Aller sur l'onglet Paramètres.

•Sous Certificats SSL (voir capture d'écran ci-dessous), charger les deux fichiers de certificat.

oPour la clé privée, choisir private.key (créée dans l'étape 1)

oPour le certificat, choisir publickey.perm (créé dans l'étape 7)

•Cliquer Enregistrer au bas de la section des Paramètres généraux pour enregistrer vos modifications.

Après avoir installé le certificat SSL, vous pouvez spécifier un port de serveur pour la communication SSL client. Suivez les instructions suivantes :

•Se connecter à l'UI de MobileTogether Server (par défaut sur le port 8085 de votre serveur).

•Aller sur l'onglet Paramètres.

•Sous Ports Client Mobiles (voir capture d'écran ci-dessous), activer et spécifier le port HTTPS.

Assurez-vous que les pares-feu sont configurés pour permettre l'accès au MobileTogether Server par le port HTTPS.

Vous pouvez maintenant utiliser un outil de test SSL quelconque pour vérifier si la communication sécurisée avec votre serveur via HTTPS fonctionne correctement. Par exemple, vous pouvez utiliser un navigateur en utilisant le site de test SSL suivant : https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Cela vous permettra de savoir : (i) si le fichier de certificat de la clé publique a été construit correctement avec la chaîne de confiance intermédiaire de l'étape 7 et (ii) si votre serveur peut être atteint correctement à travers le pare-feu.

Dans les applis MobileTogether Client qui communiquent avec un MobileTogether Server prenant en charge SSL, activer la communication SSL en cochant la case Cryptage SSL. Voir la documentation MobileTogether Client pour plus d'informations pour découvrir comment trouver cette case à cocher.