Serveur d'impression

COMMENT: créer un certificat de serveur et inclure un alias DNS – Bien choisir son serveur d impression

Par Titanfall , le 21 février 2020 - 6 minutes de lecture

Par défaut, les certificats sont liés au nom de serveur exact pour lequel ils sont créés. Qui est normalement le nom de domaine complet du serveur. Si vous créez un certificat pour le serveur myserver.vstrong.info puis connectez-vous par le nom court myserver / MyServer ou par tout autre alias DNS, le certificat ne sera pas considéré comme un certificat approuvé. Il existe un moyen d'obtenir tous les alias inclus dans le certificat.

Pour créer un certificat, vous avez besoin d'une application qui peut générer une demande de certificat, puis l'envoyer à l'autorité de certification (CA) pour signature.
OpenSSL est l'une des applications les plus simples pouvant générer une demande de certificat. Téléchargez et installez OpenSSL à partir de ce lien http://slproweb.com/products/Win32OpenSSL.html

J'installerai OpenSSL sur un système d'exploitation 64 bits, donc téléchargons Win64 OpenSSL v1.0.1e Light et son pré-requis Microsoft Visual C ++ 2008 Redistributible (x64).
L'installation est simple, acceptez les valeurs par défaut et sélectionnez Copier les DLL OpenSSL à Le répertoire des binaires OpenSSL (/ bin). Merci de faire un don généreux!

Par défaut, OpenSSL recherche un fichier de configuration dans le répertoire de profil local de l'utilisateur:

C: OpenSSL-Win64bin> openssl
AVERTISSEMENT: impossible d'ouvrir le fichier de configuration: /usr/local/ssl/openssl.cnf
OpenSSL> quitter

Exécutez la commande SET suivante pour spécifier le fichier de configuration:

SET OPENSSL_CONF = C: OpenSSL-Win64binopenssl.cfg

Avant de créer des certificats, faisons une sauvegarde du fichier de configuration OpenSSL par défaut et préconfigurons les informations par défaut qui seront applicables à tous les certificats que nous allons créer:

[ req_distinguished_name ]



countryName = Nom du pays (code à 2 lettres)
countryName_default = Royaume-Uni

stateOrProvinceName = Nom de l'État ou de la province (nom complet)
stateOrProvinceName_default = Grand Londres

localityName = Nom de localité (par exemple, ville)
localityName_default = Londres

0.organizationName = Nom de l'organisation (par exemple, société)
0.organizationName_default = vStrong.info

organizationUnitName = Nom de l'unité organisationnelle (par exemple, section)
organizationUnitName_default = IT

Par défaut, OpenSSL crée une demande de certificat 1024 bits. Si vous avez besoin d'un certificat plus solide, vous pouvez effectuer l'une des opérations suivantes:

  1. Modifiez openssl.cfg et modifiez la ligne suivante:
    [ req ]
    
    
    
    default_bits = 1024
  2. Ajoutez cette commande lorsque vous exécutez openssl:
    -newkey rsa: 4096

Et les alias?

Trouvez le [ req ] et ajoutez / annulez le commentaire de la ligne suivante:

req_extensions = v3_req

Trouvez le [ v3_req ] section et ajouter un nouveau subjectAltName ligne et liste tous les alias DNS comme dans cet exemple:

subjectAltName = "DNS: server001.vstrong.info, DNS: server001, DNS: SERVER001.VSTRONG.INFO, DNS: SERVER001, DNS: CITRIX, DNS: citrix, DNS: 10.10.100.150"

Comme vous pouvez le voir, j’ai ajouté un nom de serveur en minuscule et en majuscule, court et FQDN, deux alias, «CITRIX» et «citrix». Vous pouvez également ajouter une adresse IP du serveur ou du périphérique. Je le trouve très utile car parfois l'adresse IP est plus facile à retenir.

Permet de générer la demande de certificat!

Ouvrez l'invite de commandes Windows, accédez au répertoire dans lequel vous avez installé OpenSSL et exécutez ce qui suit:

openssl req -new -nodes -keyout server001.key -out server001.csr

Il y aura une série de questions. Répondez à chaque question et notez le mot de passe du défi; il sera nécessaire plus tard dans le processus.
Le processus de création de certificat créera 2 fichiers:

  1. * .crt – le CSR qui sera signé par l'autorité de certification pour créer le certificat final
  2. *.clé – la clé privée au format PEM

Créer une demande de certificat - 1

C: OpenSSL-Win64bin> openssl req -new -nodes -keyout server001.key -out server001.csr
Chargement de «l'écran» dans un état aléatoire - terminé
Génération d'une clé privée RSA 1024 bits
.................. ++++++
...... ++++++
écriture d'une nouvelle clé privée dans 'server001.key'
-----
On vous demande de saisir des informations qui seront intégrées
dans votre demande de certificat.
Ce que vous êtes sur le point d'entrer est ce qu'on appelle un nom distinctif ou un DN.
Il y a pas mal de champs mais vous pouvez en laisser un vide
Pour certains champs, il y aura une valeur par défaut,
Si vous entrez «.», Le champ sera laissé vide.
-----
Nom du pays (code à 2 lettres) [UK]:
Nom de l'État ou de la province (nom complet) [Greater London]:
Nom de localité (par exemple, ville) [London]:
Nom de l'organisation (p. Ex. Entreprise) [vStrong.info]:
Nom de l'unité organisationnelle (p. Ex. Section) [IT]:
Nom commun (par exemple, nom de domaine complet du serveur ou VOTRE nom) []: server001.vstrong.info
Adresse e-mail []:

Veuillez saisir les attributs «supplémentaires» suivants
à envoyer avec votre demande de certificat
Un mot de passe de défi []: MySuperSecretPassw0rd
la chaîne est trop longue, elle doit être inférieure à 20 octets
Un mot de passe de défi []: MySuperPWD
Un nom de société facultatif []:
 

Signature de la demande

Vous devez signer la demande avec les services de certificats Microsoft Active Directory.

  1. Ouvert server001.csr avec Wordpad (pour conserver la mise en forme) et copiez le contenu dans le presse-papiers (Edition> Tout sélectionner; Edition> Copier).
    Créer une demande de certificat - 2
  2. Dans Internet Explorer, accédez au Microsoft CA serveur.
    Saisissez l'URL suivante:
    http: /// certsrv
    L'applet Services de certificats démarre.
  3. Sur l'écran de bienvenue, sous le Sélectionnez une tâche titre, sélectionnez Demander un certificat.
    Créer une demande de certificat - 3
  4. le Demander une page de certificat s'affiche. Sélectionner demande de certificat avancée
    Créer une demande de certificat - 35
  5. Sur le Demande de certificat avancée écran, sélectionnez Soumettez une demande de certificat à l'aide d'un CMC codé en base 64.
    Créer une demande de certificat - 4
    le Soumettre une demande de certificat ou de renouvellement l'écran s'affiche.
  6. Sur le Soumettre une demande de certificat ou de renouvellement l'écran, collez le contenu du server001.csr (précédemment placé dans le presse-papiers), dans le Modèle de certificat fenêtre déroulante sélectionner Serveur Web ou autre approprié à votre modèle de besoins et cliquez sur Soumettre.
    Créer une demande de certificat - 5
  7. Le certificat est délivré et le Certificat délivré l'écran s'affiche.
    Créer une demande de certificat - 6
  8. Sélectionnez le Base 64 encodée bouton radio, puis sélectionnez Télécharger le certificat. Enregistrez le certificat sous server001.cer sur votre bureau.
  9. Permet de confirmer que le certificat inclut les alias de serveur:
    Créer une demande de certificat - 7

J'espère que cela vous aidera.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.