Installer les certificats de sécurité pour le connecteur ACL pour Analytics Exchange
Le connecteur ACL pour Analytics Exchange prend en charge le chiffrement SSL (Secure Sockets Layer) au niveau des connexions entre les machines client et le serveur AX. Si SSL est activé, le connecteur utilise OpenSSL pour chiffrer toutes les données qui se déplacent dans les connexions réseau entre les machines client et le serveur.
Pour configurer SSL via des certificats, vous devez générer un ensemble de certificats SSL sur la machine du serveur. Vous pouvez générer un des types de certificat suivant pour la connexion SSL :
- Certificat auto-signé
- Certificat d'une autorité de certification (CA)
Avant de commencer
Téléchargez et installez OpenSSL puis ajoutez le chemin d'accès de l'exécutable openssl.exeà votre environnement d'environnement PATH.
Remarque
Comme de nombreux projets de logiciel source, le projet OpenSSL ne distribue pas de code sous une forme binaire. Au contraire, vous devez télécharger le code source du projet et créer le binaire ou localiser un binaire qui est distribué dans votre système d'exploitation depuis une source tierce.
Pour plus d'informations, consultez la documentation OpenSSL.
Générer un certificat SSL pour l'auto-signature
OpenSSL permet de générer un fichier clé et un fichier de certificat dans la machine serveur. Les certificats auto-signés s'avèrent utiles pendant la phase de développement ou de test, lorsque vous n'avez pas à acheter de certificat commercial.
- Ouvrez une invite de commande puis créez le répertoire C:\newcerts.
md C:\newcerts
-
Passez au nouveau répertoire et générez un fichier clé de serveur et un fichier de certificat du serveur.
cd C:\newcerts openssl req -x509 -newkey rsa:4096 -keyout server-key.pem -out server-cert.pem -days 365 -nodes
Le système vous invite à saisir des informations qui figurent dans le certificat comme le pays, la ville, le nom de la société, etc. Relevez les informations que vous saisissez car le système peut vous demander de les saisir à nouveau ultérieurement.
Remarque
L'argument -nodes supprime la protection de mot de passe pour la clé privée afin que vous n'ayez pas à saisir un mot de passe lorsque vous redémarrez le serveur.
Résultat le certificat auto-signé est créé. Vous avez besoin de server-key.pem et server-cert.pem pendant l'installation du connecteur ACL pour Analytics Exchange sur la machine d'AX serveur. Les utilisateurs du client n'ont pas besoin d'un fichier de certificat lorsque vous utilisez cette option.
Génération d'un certificat SSL avec une autorité de certification (CA)
Comme les certificats auto-signés, les certificats d'une autorité de certification (CA) garantissent qu'aucun tiers ne peut accéder facilement à la connexion. Cependant, les certificats CA offrent une confiance supplémentaire car une autorité de certification indépendante et fiable valide l'authenticité du serveur.
Créez la clé privé du serveur
- Ouvrez une invite de commande puis créez le répertoire C:\newcerts.
md C:\newcerts
-
Modifiez le nouveau répertoire et générez une nouvelle clé.
cd C:\newcerts openssl genrsa -out server-key-withPass.pem
- Générez une demande de signature de certificat.
openssl req -new -key server-key-withPass.pem -out signingReq.csr
Le système vous invite à saisir des informations qui sont intégrées au certificat, comme le pays, la ville, le nom de l'entreprise, etc. Relevez les informations que vous saisissez car le système peut vous demander de les saisir à nouveau ultérieurement. Lorsque vous devez saisir une adresse e-mail, fournissez une adresse valide afin que l'autorité de certification puisse envoyer le certificat via cette adresse.
- Vérifiez les informations dans le fichier signingReq.csr puis envoyez le fichier à l'autorité de certification sous forme de demande.
Résultat Si la demande est correcte, l'autorité de certification vous envoie un certificat via l'adresse e-mail que vous avez indiqué dans la demande de signature. L'e-mail que vous recevez comprend un certificat CA chiffré et un lien vers un certificat intermédiaire CA chiffré.
Copiez les deux certificats vers un fichier texte, avec un certificat non-intermédiaire suivi d'un certificat intermédiaire puis enregistrez le fichier en tant que CA-cert.pem. Ce fichier est nécessaire pour la section suivante.
Créez et signez le certificat de serveur
- Regroupez les fichiers qui ont été générés dans la section précédente et copiez les trois fichiers dans C:\newcerts :
- server-key-withPass.pem
- signingReq.csr
- CA-cert.pem
- Ouvrez une invite de commande et modifiez C:\newcerts:
cd C:\newcerts
- Créez le certificat de serveur :
openssl CA -in signingReq.csr -out server-cert.pem -keyfile server-key-withPass.pem -days 365 -cert CA-cert.pem
- Supprimez le mot de passe de server-key-withPass.pem afin de ne pas avoir à saisir un mot de passe lorsque vous redémarrez le serveur, et générez le fichier clé de serveur final (server-key.pem).
openssl rsa -in server-key-withPass.pem -out server-key.pem
Avertissement
Une fois que vous avez supprimé l'obligation de mot de passe, vous pouvez copier et utiliser le certificat ailleurs. Cependant, lorsque vous supprimez le mot de passe, vous devez prendre les mesures correspondantes lorsque vous stockez le fichier. Assurez-vous que les autorisations sont définies afin de n'autoriser l'accès qu'aux personnes qui en ont besoin.
Résultat Le certificat de serveur est créé et signé.
Répartition des certificats SSL
Une fois que vous avez généré un certificat CA ou auto-signé, vous avez un ensemble complet de certificats SSL que vous pouvez distribuez :
- le fichier CA-cert.pem demandé par un client pour se connecter au Connecteur ACL pour Analytics Exchange sur SSL via un certificat d'autorité de certification ;
- le fichier clé de serveur (server-key.pem) et le fichier de certificat de serveur (server-cert.pem) nécessaire lorsque vous exécutez l'installateur Connecteur ACL pour Analytics Exchange sur AX Server si vous voulez activer SSL.