Mise en place d’un certificat ‘Let’s Encrypt’
au sein du serveur Kwartz
1) Pourquoi mettre en place un certificat validé par une autorité de confiance sur le serveur ?
Le certificat est utilisé pour sécuriser les transactions entre un émetteur (serveur) et un récepteur (client).
Le certificat met en relation les données d’une organisation (nom de serveur, de domaine, …) avec un jeu de clés cryptographiques.
La vérification du certificat par une autorité de certification de confiance permet de s’assurer de l’identité de l’émetteur (serveur).
Il faut noter que les données qui circuleront entre l’émetteur et le récepteur seront chiffrées (donc non lisibles si on les intercepte).
Ce processus est visible, par exemple, lors de la navigation web sécurisée (HTTPS) avec l’apparition d’un petit cadenas à côté de l’adresse du serveur. Exemple :
NOTA :
Le protocole HTTP (donc non sécurisé) est de moins en moins utilisé pour des raisons de sécurité.
Nous vous déconseillons de l’utiliser (surtout si un système d’authentification des usagers est utilisé dans le site).
2) Vérification de la bonne configuration du serveur
Préalablement à la mise en place du certificat, il est recommandé de vérifier plusieurs points de la configuration du serveur afin de s’assurer que la sécurité qui sera mise en place ne soit pas compromise.
A) Le pare-feu du serveur
L’accès aux paramètres s’effectue dans l’option du menu de « Kwartz~Control ».
On s’assurera de fermer tous les ports inutiles (exemple de la vue ci-dessus).
De la même manière, on n’utilisera la « Redirection de ports » que si cela s’avère vraiment indispensable.
B) Les services web du serveur
L’accès aux paramètres s’effectue dans l’option du menu de « Kwartz~Control ».
On s’assurera que tous les services web de l’Intranet et l’Extranet soient accessibles uniquement en mode sécurisé (surtout s’il y a un système d’authentification des usagers dans ces services).
On pourra fixer les sites sécurisés par défaut pour l’Intranet et l’Extranet (nous conseillons de ne pas utiliser les accès non sécurisés).
On fixera également la redirection du port 8443 de l’extranet vers le port 443 standard (HTTPS).
On mettra à jour la configuration .
On précisera le nom DNS du serveur et on mettra à jour cette information.
Cette information peut être récupérée dans l’option du menu de Kwart~Control.
Si l’accès au service « Owncloud » à partir de l’Intranet ne s’effectue par correctement en utilisant l’adresse DNS du serveur, on précisera l’adresse IP publique du serveur ainsi que le port HTTPS standard (443) que l’on redirigera vers le port de l’Extranet (8443) puis on mettra à jour la configuration.
Cette information peut être récupérée dans l’option du menu
3) Installation du certificat « Let’s Encrypt »
« Let’s Encrypt » est une autorité de certification qui permet d’obtenir gratuitement des certificats par un processus de renouvellement automatique. Cette fonctionnalité est maintenant implémentée dans Kwartz Serveur. Ce processus est mis en place en plusieurs étapes.
Le descriptif simplifié est donné ci-dessous.
- Le serveur effectue une demande de certificat auprès du service « Let’s Encrypt ».
- Le service « Let’s Encrypt » communique avec le serveur afin de valider son identité.
- Si cette vérification aboutit, le certificat est délivré au serveur.
- Le serveur installe le certificat obtenu.
- Activez l’option du menu .
- Activez le lien « Obtenir un certificat « Let’s Encrypt ».
- Corrigez/Saisissez le nom DNS du serveur puis activez le bouton ‘OBTENIR LE CERTIFICAT’.
Patientez quelques instants.
- Si la demande aboutit, activez le lien ‘L’installer maintenant…’.
Dans le cas contraire, contactez votre Baip afin d’analyser le problème.
Un message vous informe que le certificat déjà en place va être remplacé. Activez le bouton ‘OUI’.
- Assurez-vous du nom de serveur puis activez le bouton ‘INSTALLER CE CERTIFICAT’.
Un message vous indique si le certificat a été installé correctement.
Si vous retournez dans l’option d’installation d’un certificat, le serveur indique les informations concernant le certificat.
Remarque
Le certificat est valable 3 mois. Arrivé à échéance, le serveur va renouveler le certificat de manière automatique.