Configurer le chiffrage SSL
Si vous souhaitez encoder vos transferts de données RaptorXML Server à l'aide du protocole SSL, vous devez :
•Générer une clé privée SSL et créer un fichier de certificat de clé publique SSL
•Configurer RaptorXML Server pour la communication SSL.
Vous trouverez ci-dessous les étapes à suivre.
Cette méthode utilise le kit outil OpenSSL open-source pour gérer l'encodage SSL. Les étapes listées ci-dessous, doivent donc être effectuées sur un ordinateur sur lequel OpenSSL est disponible. Généralement, OpenSSL est pré-installé sur la plupart des distributions Linux et sur des appareils macOS. Il peut donc être installé sur les ordinateurs Windows. Pour télécharger des liens pour les binaires d'installation, voir le Wiki OpenSSL.
Pour générer une clé privée et obtenir un certificat auprès d'une autorité de certification, procéder comme suit :
SSL nécessite l'installation d'une clé privée sur RaptorXML Server. Cette clé privée sera utilisée pour encoder toutes les données RaptorXML Server. Pour créer la clé privée, utiliser la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Un fichier nommé private.key est créé, qui contient votre clé privée. Veuillez noter où vous avez enregistré le fichier. Il vous faudra la clé privée pour (i) générer la Certificate Signing Request (CSR), et (ii) l'installer sur RaptorXML Server.
|
2.Requête de signature de certificat (CSRs)
Une Requête de signature de certificat (Certificate Signing Request) (CSR) est envoyée à l'Autorité de certification (CA), comme VeriSign ou Thawte, pour demander un certificat de clé public. La CSR est basée sur votre clé privée et contient des informations concernant votre organisation. Créer une CSR avec la commande OpenSSL suivante (qui fournit le fichier privé-clé, private.key, qui a été créé dans l'étape 1, en tant que l'un de ces paramètres) : openssl req -new -nodes -key private.key -out my.csr
Au cours de la génération de la CSR vous devrez donner des informations concernant votre organisation, comme celle que vous trouverez ci-dessous. Cette information sera utilisée par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville où votre commerce se situe) •Organisation (le nom de votre entreprise). Ne pas utiliser des caractères spéciaux ; ils invalideront votre certificat •Nom commun (le nom DNS de votre serveur). Cela doit correspondre exactement au nom officiel de votre serveur, c'est à dire, le nom DNS que les applis client utiliseront pour se connecter au serveur •Un mot de passe. Garder cette entrée vierge !
|
Acheter un certificat SSL auprès d'une autorité de certificat (CA) reconnu, comme VeriSign ou Thawte. Pour le reste de ces instructions, nous suivons la procédure VeriSign. La procédure avec d'autres CA est semblable.
•Se rendre sur le site web VeriSign. •Cliquer sur Buy SSL Certificates. •Plusieurs types de certificats SSL sont disponibles. En ce qui concerne RaptorXML Server, les certificats Secure Site ou Secure Site Pro sont suffisants. Une EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne verront pas de "barre d'adresse verte". •Suivez les étapes d'inscription et saisir les informations nécessaires pour passer votre commande. •Lorsque vous êtes invité à indiquer la CSR (créée dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande. •Payer le certificat avec votre carte de crédit.
|
4.Recevoir clé publique de la CA
Votre autorité de certificat achèvera le processus d'inscription en deux ou trois jours ouvrés. Pendant ce temps, vous pourrez recevoir des e-mails ou des appels téléphoniques pour vérifier si vous êtes autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez travailler avec l'autorité pour achever le processus.
Une fois que le processus d'autorisation et d'inscription est achevé, vous obtiendrez un e-mail contenant la clé publique de votre certificat SSL. La clé publique sera en texte clair ou attaché en tant que fichier .cer.
|
5.Enregistrer la clé publique dans le fichier
Pour pouvoir être utilisé avec RaptorXML Server, la clé publique doit être enregistrée dans un fichier .cer. Si la clé publique était fournie en tant que texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier de texte que nous appellerons mycertificate.cer.
|
6.Enregistrer les certificats intermédiaires de la CA sous le fichier
Pour terminer votre certificat SSL, il vous faut deux certificats supplémentaires : le certificat intermédiaire primaire et secondaire. Votre autorité de certificat (CA) établira la liste du contenu des certificats intermédiaires sur son site web.
•Les certificats intermédiaires de Verisign : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Les certificats intermédiaires de Verisign pour son produit Secure Site : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers de texte séparés et les enregistrer sur votre ordinateur.
|
7.En option, combiner des certificats dans un fichier de certificat de clé publique
Vous disposez maintenant de trois fichiers de certificat :
•Clé publique (mycertificate.cer) •Certificat intermédiaire secondaire •Certificat intermédiaire primaire
Vous pouvez intégrer vos certificats intermédiaires dans votre certificat de clé publique si vous le souhaitez. Vous trouverez ci-dessous la description de la procédure à suivre. (En alternative, vous pouvez utiliser les paramètres du fichier de configuration https.certificate-chain pour spécifier l'emplacement des certificats intermédiaires.)
Chacun contient des blocs de texte contenus dans des tirets : --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
À présent, copier-coller les trois certificats dans un fichier de manière à ce qu'ils se trouvent dans le bon ordre : l'ordre de la séquence est important : (i) clé publique, (ii) certificat intermédiaire secondaire, (iii) certificat intermédiaire primaire. Veuillez vous assurer qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- clé publique provenant de mycertificate.cer (voir étape 5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire secondaire (voir étape 6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire primaire (voir étape 6) --END CERTIFICATE--
Enregistrer le texte de certificat combiné en résultat sous un fichier nommé publickey.cer . Il s'agit du fichier de certificat de clé publique de votre certificat SSL. Il inclut votre certificat de clé publique et la chaîne complète de confiance sous la forme des certificats intermédiaires qui ont été utilisés par la CA pour signer votre certificat. |