HoComment installer les certificats auto-signés?
Les certificats SSL auto-signés (autorité de certification interne) pour ADSelfService Plus peuvent être appliqués en cinq étapes. À savoir :
Étape 1 : Activer SSL dans ADSelfService Plus
- Connectez-vous à ADSelfService Plus avec les informations d'identification d'administrateur.
- Naviguez vers l'onglet Administrateur → Paramètres du produit → Connexion.[Voir l’image]
- Activez la case à cocher Activer le port SSL [HTTPS].
- Cliquez sur Enregistrer et redémarrez ADSelfService Plus.
- Remarque: Le port par défaut pour la connexion HTTPS dans notre application est 9251.
Étape 2 : Générer un fichier CSR
- Démarrez ADSelfService Plus et connectez-vous en tant qu’administrateur.
- AgaÀ nouveau, naviguez vers Administrateur → Paramètres du produit → Connexion.
- Cliquez sur le bouton Outil de certification SSL.
- Dans la page Outil et guide SSL qui s'ouvre, renseignez tous les champs obligatoires. [Voir l’image]
- Fournissez une valeur pour la validité des certificats en jours (facultatif).
- Mettez à jour la valeur de la longueur de la clé publique à 2048 bits(recommandé).
- Cliquez sur Générer un fichier CSR.
- Deux fichiers, SelfService.csr et SelfService.keystore, seront créés.
- Remarque: Les deux fichiers seront créés dans des emplacements différents.
- SelfService.csr dans <répertoire d'installation>webapps\adssp \Certficates\SelfService.csr.
- SelfService.keystore dans <répertoire d'installation>jre\bin.
Étape 3 : Soumettre le fichier CSR à votre autorité de certification
- Connectez-vous aux Services de certificats Microsoft (https:\\server-name\certsrv).
- Cliquez sur Demander un certificat → Demande de certificat avancé. [Voir l’image]
- Cliquez sur Soumettre une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettre une demande de renouvellement en utilisant un fichier PKCS #7 codé en base 64.
- Collez le contenu de votre fichier SelfService.csr dans le champ Demande enregistrée. [Voir l’image]
- Il est toujours recommandé d'ouvrir un fichier CSR depuis son emplacement natif à l'aide d'un éditeur de texte plutôt que de l'ouvrir depuis le navigateur.
- Lorsque vous copiez le contenu du fichier SelfService.csr, veuillez vous assurer qu'aucun espace supplémentaire à la fin du fichier n'est copié en même temps.
- Définissez le modèle de certificat en tant que serveur Web et cliquez sur Soumettre.
- Dans la page Certificat émis qui apparaît, sélectionnez Code DER. [Voir l’image]
- Cliquez sur Télécharger le certificat pour télécharger le certificat au format de fichier CER.
- Cliquez sur Télécharger la chaîne de certificats pour télécharger les certificats au format de fichier P7B.
- Placez les fichiers de certificat dans <Répertoire d’installation>\jre\bin.
- Remarque: Convertissez votre certificat du format CER au format P7B. Suivez les étapes indiquées ici.
Étape 4 : Importer les certificats internes signés par l’autorité de certification dans le keystore
- Ouvrez une invite de commande élevée et naviguez vers <Répertoire d’installation>\jre\bin.
- Sauvegardez le fichier SelfService.keystore.
- Exécutez la commande suivante pour importer le certificat interne dans le fichier de keystore:
- Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
- Exécutez la commande suivante pour ajouter le fichier racine de votre autorité de certification interne à la liste des autorités de certification approuvées dans le fichier Java cacerts :
- keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
- Remarque: Utilisez « changeit » comme mot de passe lorsque vous installez le certificat de chaîne.
Étape 5 : Lier le certificat à ADSelfService Plus
- Copiez le fichier SelfService.Keystore dans <Répertoire d’installation>\conf.
- Sauvegardez les fichiers server.xml et web.xml.
- Modifiez le fichier server.xml (dans <Répertoire d’installation>\conf) en remplaçant les valeurs des balises de connecteur SSL suivantes :
- « keystoreFile » par « ./conf/SelfService.keystore ».
- « keystorePass » par le mot de passe que vous avez saisi lors de la génération du fichier CSR.
- Par ex. : <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore_password" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2">
- Redémarrez ADSelfService Plus et vérifiez si les certificats sont installés correctement.