Comment installer les certificats auto-signés ?
Accueil » Comment installer les certificats auto-signés ?

HoComment installer les certificats auto-signés?

Les certificats SSL auto-signés (autorité de certification interne) pour ADSelfService Plus peuvent être appliqués en cinq étapes. À savoir :

Étape 1 : Activer SSL dans ADSelfService Plus

  • Connectez-vous à ADSelfService Plus avec les informations d'identification d'administrateur.
  • Naviguez vers l'onglet Administrateur → Paramètres du produit → Connexion.[Voir l’image]
  • Activez la case à cocher Activer le port SSL [HTTPS].
  • Cliquez sur Enregistrer et redémarrez ADSelfService Plus.
  • Remarque: Le port par défaut pour la connexion HTTPS dans notre application est  9251.

Étape 2 : Générer un fichier CSR

  • Démarrez ADSelfService Plus et connectez-vous en tant qu’administrateur.
  • AgaÀ nouveau, naviguez vers Administrateur → Paramètres du produit → Connexion.
  • Cliquez sur le bouton Outil de certification SSL.
  • Dans la page Outil et guide SSL qui s'ouvre, renseignez tous les champs obligatoires. [Voir l’image]
  • Fournissez une valeur pour la validité des certificats en jours (facultatif).
  • Mettez à jour la valeur de la longueur de la clé publique à  2048 bits(recommandé).
  • Cliquez sur Générer un fichier CSR.
  • Deux fichiers, SelfService.csr et SelfService.keystore, seront créés.
  • Remarque: Les deux fichiers seront créés dans des emplacements différents.
    • SelfService.csr dans <répertoire d'installation>webapps\adssp \Certficates\SelfService.csr.
    • SelfService.keystore dans <répertoire d'installation>jre\bin.

Étape 3 : Soumettre le fichier CSR à votre autorité de certification

  • Connectez-vous aux Services de certificats Microsoft (https:\\server-name\certsrv).
  • Cliquez sur Demander un certificat → Demande de certificat avancé. [Voir l’image]
  • Cliquez sur Soumettre une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettre une demande de renouvellement en utilisant un fichier PKCS #7 codé en base 64.
  • Collez le contenu de votre fichier SelfService.csr dans le champ Demande enregistrée. [Voir l’image]
  • Il est toujours recommandé d'ouvrir un fichier CSR depuis son emplacement natif à l'aide d'un éditeur de texte plutôt que de l'ouvrir depuis le navigateur.
  • Lorsque vous copiez le contenu du fichier SelfService.csr, veuillez vous assurer qu'aucun espace supplémentaire à la fin du fichier n'est copié en même temps.
  • Définissez le modèle de certificat en tant que serveur Web et cliquez sur Soumettre.
  • Dans la page Certificat émis qui apparaît, sélectionnez Code DER. [Voir l’image]
    • Cliquez sur Télécharger le certificat pour télécharger le certificat au format de fichier CER.
    • Cliquez sur Télécharger la chaîne de certificats pour télécharger les certificats au format de fichier P7B.
  • Placez les fichiers de certificat dans <Répertoire d’installation>\jre\bin.
  • Remarque: Convertissez votre certificat du format CER au format P7B. Suivez les étapes indiquées ici.

Étape 4 : Importer les certificats internes signés par l’autorité de certification dans le keystore

  • Ouvrez une invite de commande élevée et naviguez vers <Répertoire d’installation>\jre\bin.
  • Sauvegardez le fichier SelfService.keystore.
  • Exécutez la commande suivante pour importer le certificat interne dans le fichier de keystore:
    • Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
  • Exécutez la commande suivante pour ajouter le fichier racine de votre autorité de certification interne à la liste des autorités de certification approuvées dans le fichier Java cacerts :
    • keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
  • Remarque: Utilisez « changeit » comme mot de passe lorsque vous installez le certificat de chaîne.

Étape 5 : Lier le certificat à ADSelfService Plus

  • Copiez le fichier SelfService.Keystore dans <Répertoire d’installation>\conf.
  • Sauvegardez les fichiers server.xml et web.xml.
  • Modifiez le fichier server.xml (dans <Répertoire d’installation>\conf) en remplaçant les valeurs des balises de connecteur SSL suivantes :
    • « keystoreFile » par « ./conf/SelfService.keystore ».
    • « keystorePass » par le mot de passe que vous avez saisi lors de la génération du fichier CSR.
    • Par ex. : <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore_password" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2">
  • Redémarrez ADSelfService Plus et vérifiez si les certificats sont installés correctement.