Configurer le chiffrage SSL
Si vous souhaitez que les communications entre vos appareils MobileTogether Server et MobileTogether Client soient chiffrées à l'aide du protocole SSL, vous devrez :
•Générer une clé privée SSL et créer un fichier de certification de clé publique SSL
•Configurer MobileTogether Server pour la communication SSL.
Les étapes à suivre sont recensées ci-dessous.
MobileTogether utilise la boîte à outils OpenSSL open-source pour gérer le chiffrage SSL. C'est pourquoi les étapes recensées ci-dessous doivent être effectuées sur un ordinateur sur lequel OpenSSL est disponible. OpenSSL est généralement pré-installé sur la plupart des distributions Linux et sur les machines macOS. Il peut aussi être installé sur des ordinateurs Windows Pour télécharger des liens vers des installateurs binaires, voir le Wiki OpenSSL.
SSL nécessite l'installation d'une clé privée sur MobileTogether Server. Cette clé privée sera utilisée pour chiffrer toutes les données envoyées aux applis MobileTogether Client. Pour créer la clé privée, utiliser la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Cela permet de créer un fichier appelé private.key, qui contient votre clé privée. Veuillez noter l'endroit où vous avez enregistré le fichier. Il vous faudra la clé privée pour (i) générer la Demande de signature de certificat (CSR) et (ii) pour l'installation sur MobileTogether Server (voir étape 8 ci-dessous).
|
2.Demandes de signature de certificat (CSR)
Une Demande de signature de certificat (CSR) est envoyée à une autorité de certification (AC), comme VeriSign ou Thawte, pour demander un certificat de clé publique. La CSR est basée sur votre clé privée et contient des informations concernant votre entreprise. Créer une CSR avec la commande OpenSSL suivante (qui fournit le fichier de clé privée, private.key, qui a été créé à l'étape 1, en tant que l'un de ses paramètres) : openssl req -new -nodes -key private.key -out my.csr
Pendant la génération de la CSR, vous devrez fournir des informations concernant votre entreprise, voir la liste ci-dessous. Ces informations seront utilisées par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville dans laquelle se trouve l'entreprise) •Organisation (le nom de l'entreprise). Veuillez ne pas utiliser de caractères spéciaux, ils rendront votre certificat invalide •Nom commun (le nom DNS de votre serveur). Il doit correspondre exactement au nom officiel de votre serveur, donc, au nom DNS que les applis client utiliseront pour se connecter au serveur •Un mot de passe challenge. Laisser cette entrée vide !
|
Acheter un certificat SSL auprès d'une autorité de certification reconnue (AC), comme VeriSign ou Thawte. Pour le reste de ces instructions, nous suivons la procédure VeriSign. La procédure avec d'autres AC est similaire.
•Aller sur le site internet VeriSign. •Cliquer sur Buy SSL Certificates. •Plusieurs types de certificats SSL sont disponibles. Pour MobileTogether Server, les certificats Secure Site ou Secure Site Pro sont suffisants. EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne voient pas de "barre d'adresse verte". •Suivez le processus d'enregistrement et remplissez les informations nécessaires pour passer votre commande. •Lorsque vous serez invité à saisir votre CSR (créé dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande. •Payez le certificat avec votre carte de crédit.
|
4.Recevoir une clé publique de la part de l'AC
Votre autorité de certification complétera le processus d'enregistrement dans les deux à trois jours ouvrables suivants. Pendant ce temps, vous recevrez éventuellement des messages électroniques ou des appels téléphoniques vous demandant de contrôler si vous êtes autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec les autorités pour achever le processus.
Une fois le processus d'autorisation et d'inscription complété, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. La clé publique sera en texte brut ou attachée en tant que fichier .cer file.
|
5.Enregistrer la clé publique sous fichier
Pour une utilisation avec MobileTogether Server, la clé publique doit être sauvegardée dans un fichier .cer. Si la clé publique a été fournie en tant que texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier texte que nous appellerons mycertificate.cer.
|
6.Enregistrer les certificats intermédiaires de l'AC dans le fichier
Pour terminer votre certificat SSL, il vous faudra deux certificats supplémentaires : les certificats intermédiaires primaires et secondaires. Votre autorité de certification (AC) recensera le contenu des certificats intermédiaires sur son site web.
•Certificats intermédiaires de Verisign : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Certificats intermédiaires de Verisign pour son produit Secure Site : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés puis les enregistrer sur votre ordinateur.
|
7.Combiner les certificats dans un fichier de certificat à clé publique
Vous détenez maintenant trois fichiers de certificats :
•Clé publique (mycertificate.cer) •Certificat intermédiaire secondaire •Certificat intermédiaire primaire
Chacun contient des blocs de texte délimités par des lignes comme dans l'exemple ci-dessous : --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
Maintenant, copier-coller les trois certificats dans un fichier de manière à ce qu'ils forment une séquence. L'ordre de la séquence est important : (i) clé publique, (ii) certificat intermédiaire secondaire, (iii) certificat intermédiaire primaire. Veuillez vous assurer qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- clé publique de mycertificate.cer (voir étape 5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire secondaire (voir étape 6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificat intermédiaire primaire (voir étape 6) --END CERTIFICATE--
Enregistrer le texte de certificat combiné dans un fichier nommé publickey.cer . Il s'agit du fichier de certificat à clé publique de votre certificat SSL. Il comprend votre certificat de clé publique ainsi que la chaîne de confiance complète sous la forme des certificats intermédiaires qui étaient utilisés par l'AC pour signer votre certificat. Le fichier de certificat de clé publique sera installé sur MobileTogether Server avec la clé privée (voir étape 8).
|
8.Installer le certificat SSL sur MobileTogether Server
Le certificat SSL est un ensemble de certificats enregistrés dans les fichiers suivants :
•private.key: contient le certificat de clé privée •publickey.cer: contient le certificat de clé publique et les certificats intermédiaires de l'AC (primaires et secondaires)
Pour installer les certificats SSL sur MobileTogether Server, suivre les étapes suivantes :
•Se connecter à l'UI de MobileTogether Server (par défaut sur le port 8085 de votre serveur). •Aller sur l'onglet Paramètres. •Sous Certificats SSL (voir capture d'écran ci-dessous), charger les deux fichiers de certificat.
oPour la clé privée, choisir private.key (créé dans l'étape 1) oPour le certificat, choisir publickey.cer (créé dans l'étape 7)
•Cliquer Enregistrer au bas de la section des Paramètres généraux pour enregistrer vos modifications.
|
9.Configurer le port HTTP du serveur
Après avoir installé le certificat SSL, vous pouvez spécifier un port de serveur pour la communication SSL client. Suivez les instructions suivantes :
•Se connecter à l'UI de MobileTogether Server (par défaut sur le port 8085 de votre serveur). •Aller sur l'onglet Paramètres. •Sous Ports Client Mobiles (voir capture d'écran ci-dessous), activer et spécifier le port HTTPS.
Assurez-vous que les pares-feu sont configurés pour permettre l'accès au MobileTogether Server par le port HTTPS.
|
Vous pouvez maintenant utiliser un outil de test SSL quelconque pour vérifier si la communication sécurisée avec votre serveur via HTTPS fonctionne correctement. Par exemple, vous pouvez utiliser un navigateur en utilisant le site de test SSL suivant : https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
Cela vous permettra de savoir : (i) si le fichier de certificat de la clé publique a été construit correctement avec la chaîne de confiance intermédiaire de l'étape 7 et (ii) si votre serveur peut être atteint correctement à travers le pare-feu.
|
11.Activer les MobileTogether Client pour utiliser SSL
Dans les applis MobileTogether Client qui communiquent avec un MobileTogether Server prenant en charge SSL, activer la communication SSL en cochant la case Cryptage SSL. Voir la documentation MobileTogether Client pour plus d'informations pour découvrir comment trouver cette case à cocher.
|