Générer un certificat SSL personnalisé (auto-signé)
Générer un certificat auto-signé à l’aide de Windows PowerShell
Générez un certificat SSL personnalisé et importez-le dans les magasins essentiels sur Windows Server 2012 R2.
1.Ouvrez Windows PowerShell.
2.Exécutez les commandes suivantes :
a.$customcertificate = New-SelfSignedCertificate -DnsName "<FQDN>" -CertStoreLocation "cert:\localmachine\my"
Dans la commande ci-dessus, remplacez <FQDN> par la version de nom d’objet correspondante affichée dans ESA Web Console > Components (Composants) > Invitations > Server access (Accès au serveur).
Si vous définissez plusieurs noms DNS, par exemple :
-DnsName "my.esa.installation.com", "my.authentication.server", "twofactor.auth"
La première entrée (« my.esa.installation.com » dans l’exemple ci-dessus) sera utilisée dans le champ Subject (Objet), et les entrées suivantes seront utilisées dans le champ Subject Alternative Name (Nom alternatif de l’objet) du certificat.
b.$exportpassword = ConvertTo-SecureString -String '<password>' -Force -AsPlainText
Dans la commande ci-dessus, remplacez <password> par le mot de passe de votre choix.
c.$certPath = 'cert:\localMachine\my\' + $customcertificate.thumbprint
d.Export-PfxCertificate -cert $certPath -FilePath $env:USERPROFILE\Desktop\ESAcustomCertificate.pfx -Password $exportpassword
Cette dernière commande placera le certificat ESAcustomCertificate.pfx sur votre bureau.
3. Pour ouvrir la boîte de dialogue Exécuter, appuyez sur les touches Windows + R.
4.Ajoutez le composant logiciel enfichable Certificat :
a.Saisissez mmc, puis appuyez sur Entrée.
b.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable.
c.Sélectionnez Certificats > Ajouter.
d.Sélectionnez Compte d’ordinateur, cliquez sur Suivant, puis sur Terminer. Cliquez ensuite sur OK pour fermer la fenêtre Ajouter ou supprimer des composants logiciels enfichables.
5.Importer le certificat applicable :
a.Dans le volet de gauche de la console MMC, développez Certificats (Ordinateur local) > Personnel, puis cliquez avec le bouton droit sur Certificats.
b.Sélectionnez Toutes les tâches > Importer.
c.Dans l’assistant d’importation, cliquez sur Suivant, puis sur Parcourir. Dans le menu déroulant d’extension de fichier, sélectionnez Personal Information Exchange (*.pfx, *.p12), recherchez le fichier de certificat exporté, cliquez sur Ouvrir, puis sur Suivant.
d.Tapez le mot de passe utilisé dans la deuxième commande ci-dessus, puis cliquez sur Suivant.
e.Sélectionnez Placer tous les certificats dans le magasin suivant, puis tapez le nom de magasin Personnel. Cliquez sur Suivant, puis sur Terminer.
6.Dans le volet de gauche de la console MMC, développez Certificats (ordinateur local) > Autorités de certification racines de confiance, puis cliquez avec le bouton droit sur Certificats.
7.Sélectionnez Toutes les tâches >, Importer, puis répétez les étapes 6a à 6c.
8.Double-cliquez sur le certificat dans Certificats (ordinateur local) > Personnel > Certificats, puis vérifiez que la ligne Vous disposez d’une clé privée qui correspond à ce certificat s’affiche.
Si vous avez besoin de fichiers .crt et .key au lieu d’un fichier .pfx, convertissez le fichier .pfx en fichier .crt et .key à l’aide d’OpenSSL ou d’une autre méthode de votre choix.
Convertir un fichier .pfx en fichiers .crt et .key à l’aide d’OpenSSL
Vérifiez qu’OpenSSL pour Windows est installé, puis exécutez les commandes ci-dessous.
openssl pkcs12 -in D:\ESAcustomCertificate.pfx -clcerts -nokeys -out D:\ESAcustomCertificate.crt |
Lorsque Enter Import Password (Entrer le mot de passe d’importation) s’affiche, tapez le mot de passe défini dans la commande Export-PfxCertificate lors de la génération du certificat via Windows PowerShell.
openssl pkcs12 -in D:\ESAcustomCertificate.pfx -nocerts -out D:\ESAcustomCertificate_encrypted.key |
Pour Enter PEM pass phrase (Entrer la phrase secrète PEM), définissez un nouveau mot de passe d’au moins quatre caractères.
openssl rsa -in D:\ESAcustomCertificate_encrypted.key -out D:\ESAcustomCertificate.key |
Lorsque vous y êtes invité, tapez le même mot de passe que celui que vous avez défini pour Enter PEM pass phrase (Entrer la phrase secrète PEM).
Générer un certificat auto-signé à l’aide d’OpenSSL
Vérifiez qu’OpenSSL pour Windows est installé.
Créer un fichier de configuration
Pour éviter un avertissement « Certificat non valide », le fichier ESAcustomCertificate.conf doit inclure la liste des noms DNS alternatifs via lesquels le serveur d’authentification sera disponible. La commande ci-dessus générera les fichiers newKey.rsa et newCertificate.crt.
Exemple de contenu du fichier ESAcustomCertificate.conf :
[ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext x509_extensions = x509_ext
[ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = SK stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Slovakia localityName = Locality Name (eg, city) localityName_default = Bratislava organizationName = Organization Name (eg, company) organizationName_default = My company running ESA commonName = Common Name (e.g. server FQDN) commonName_default = my.esa.installation.com
[ req_ext ] subjectAltName = @alternative_names
[ x509_ext ] subjectAltName = @alternative_names
[alternative_names] DNS.1 = my.esa.installation.com DNS.2 = my.authentication.server DNS.3 = twofactor.auth DNS.4 = 192.168.0.1 IP.1 = 192.168.0.1 |
Générez un certificat et une clé OpenSSL à l’aide de la ligne de commande Windows.
openssl req -config D:\ESAcustomCertificate.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout D:\ESAcustomCertificate.key -days 365 -out D:\ESAcustomCertificate.crt |
Si commonName a été préconfiguré correctement dans le fichier de configuration, appuyez sur Entrée lorsque l’invite CommonName s’affiche.