Sécuriser les communications entre le rôle Assistant d'unité et le rôle Signature de certificats - Security Center 5.11

Guide de l’administrateur Security Center 5.11

Product
Security Center
Content type
Guides > Guides d'administration
Version
5.11
Language
Français (France)
Last updated
2024-04-03

Pour sécuriser les communications entre le rôle Assistant d'unité et le rôle Signature de certificats, vous devez créer un certificat de confiance pour localhost.

À savoir

Le rôle Assistant d'unités se connecte au rôle Signature de certificats à l’aide d'une URL au format https://hostname:port/managementhostname correspond à l'adresse IP ou au nom d'hôte du serveur hébergeant le rôle Signature de certificats. Pour bénéficier d'une configuration de basculement simple et robuste, les deux rôles doivent être hébergés sur un même serveur. En cas de basculement, les deux rôles basculeront ainsi vers un même serveur. Cela permet également d'utiliser localhost au lieu du nom d'hôte dans l’URL de connexion. C’est pour cela que le certificat servant à sécuriser les communications entre les deux rôles doit être identifié en tant que localhost.
REMARQUE : Une conséquence de cette approche est que seul Config Tool exécuté sur le serveur qui héberge le rôle Signature de certificats peut être utilisé pour configurer intégralement le rôle Assistant d'unité.

Procédure

  1. Générez le certificat utilisé pour sécuriser la communication entre ces deux rôles.
    1. Dans la barre de tâches Windows, cliquez sur et entrez PowerShell.
    2. Dans le résultat de la recherche, faites un clic droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu'administrateur.
      La fenêtre Windows PowerShell s'ouvre.
    3. Entrez la commande $PSVersionTable pour connaître la version que vous exécutez.
      IMPORTANT : Vous devez avoir PowerShell version 5.1.17763.2931 ou une version ultérieure. Si votre version est trop ancienne, vous devez exécuter PowerShell sur un serveur sur lequel est installée une version prise en charge, générer et exporter le certificat, puis l'importer sur le serveur hébergeant vos deux rôles.
    4. Entrez la commande suivante pour générer un certificat auto-signé.
      Code
      New-SelfSignedCertificate -Type Custom -Subject "CN=SigningPluginSSL, O=Genetec Inc., OU=SigningPluginSSL, C = CA" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.1", "2.5.29.17={text}DNS=localhost") -KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My"
      REMARQUE : Pour exécuter cette commande, commencez par copier la chaîne précédente dans Bloc-notes, supprimez les sauts de ligne, puis collez la chaîne sans sauts de ligne dans la fenêtre Windows PowerShell.

      Dans notre exemple de commande, nous utilisons le nom de certificat SigningPluginSSL. Pour utiliser un autre nom, remplacez tout simplement SigningPluginSSL, utilisé à deux endroits, par le nom de votre choix.

    5. Fermez la fenêtre Windows PowerShell.
  2. Ouvrez la Console de gestion Microsoft.
    • Sous Windows Server, procédez de la manière suivante :
      1. Dans la barre de tâches Windows, cliquez sur et entrez mmc.
      2. Dans la fenêtre qui apparaît, cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.
      3. Dans la fenêtre Ajouter/Supprimer un composant logiciel enfichable qui apparaît, cliquez sur Certificats > Ajouter.
        Console de gestion Microsoft - Ajout du composant logiciel enfichable Certificats.
      4. Dans la boîte de dialogue Composant logiciel enfichable qui apparaît, sélectionnez Compte d'ordinateur > Suivant.
        Boîte de dialogue affichant la sélection de « Compte d'ordinateur » pour le composant logiciel enfichable.
      5. Cliquez sur Terminer > OK.

        Le composant logiciel enfichable de gestion des certificats est ajouté.

    • Sous Windows 10, procédez de la manière suivante :
      1. Dans la barre de tâches Windows, cliquez sur et entrez Certificats.
      2. Dans le résultat de la recherche, cliquez sur Gérer les certificats utilisateur.
  3. Dans le volet de gauche de la Console de gestion Microsoft, développez Personnel et cliquez sur Certificats.
  4. Dans le volet droit de la fenêtre, cliquez avec le bouton droit de la souris sur le certificat que avez créé (SigningPluginSSL) et cliquez sur Copier.
    Console de gestion Microsoft affichant les certificats personnels SigningPluginSSL en cours de copie.
  5. Dans le volet gauche de la fenêtre, développez Autorités de certification racines de confiance et cliquez sur Certificats.
  6. Faites un clic droit sur Certificats, puis cliquez sur Coller.
    Console de gestion Microsoft affichant un certificat personnel en cours de collage dans la section Autorités de certificats racines de confiance.
  7. Ouvrez Server Admin, puis dans le volet de gauche, cliquez sur le nom de votre serveur.
  8. Dans la section Sécuriser les communications, cliquez sur Sélectionner un certificat.
  9. Dans la boîte de dialogue qui apparaît, cliquez sur le certificat que vous avez créé (SigningPluginSSL), et cliquez sur Sélectionner.
    Fenêtre Server Admin affichant la séquence des étapes de sélection du certificat.
  10. Cliquez sur Enregistrer > Oui et fermez Server Admin
  11. Si vous avez affecté plusieurs serveurs au rôle Assistant d'unité, répétez la procédure sur les autres serveurs.

Lorsque vous avez terminé

Créez le rôle Signature de certificats.