Un petit tuto sur l’installation de certificats sur Vdi-In-a-Box

Traduction et adaptation de l’article CTX132235   ( http://support.citrix.com/article/CTX132235)

les commandes sont en bleu italique : commande

I – Creation du keystore et du fichier de demande de certificat près d’un CA (fichier Certificate Signing Request (CSR))

1) Se connecter sur Vdi in a box (SSH VDI-in-a-Box ou en console dans Xenserver)

Utilisateur par défaut : kvm / kaviza123

2) Changer le Hostname du serveur

Par défaut celui-ci porte le nom de vdiMgr. Choisir un nom que sera cohérent avec les DNS, le CN du certificat SSL

ex : myvdi.domaine.fr

Ouvrir le fichier de configuration network :

 sudo vi /etc/sysconfig/network

Changer le HOSTNAME (HOSTNAME = myvdi.domaine.fr)

Sauvegarder le fichier et quitter vi

(On peut rebooter le serveur)

3) Génération du Keystore, des Key Pair, et du CSR

Si on a rebooté le serveur, Se reconnecter sur Vdi in a box (SSH VDI-in-a-Box ou en console dans Xenserver)

On utilise l’utilitaire Java keytool (doc : http://docs.oracle.com/javase/6/docs/technotes/tools/solaris/keytool.html)

Création du dossier keystore :

mkdir /home/kvm/keystore

cd /home/kvm/keystore

Creation du Java keystore et des clé privées (l’option Alias doit correspondre au HOSTNAME de Vdi in a Box)

 

  keytool –genkey –alias myvdi.domaine.fr –keyalg RSA –keysize 2048 –keystore kmgr.keystore

Saisir un mot de passe et le confirmer (au moins 6 caractères) – password de l’exemple : MonBeauPass15

Remplir le questionnaire et faire « entrer » après chaque ligne

ATTENTION : A la question : What is your first and last name ? La réponse doit être le CN. Avec un nom de host valide !

Dans notre cas : What is your first and last name ?  myvdi.domaine.fr

A la fin du formulaire faites Entrer pour utiliser le même password dans l’étape suivante.

(si vous le voulez sinon vous devrez saisir un autre password !)

Utiliser à nouveau l’utilitaire keytool pour générer le fichier CSR dans le répertoire courant ((/home/kvm/keystore) qui aura

comme nom : kmgr.csr. Envoyer le à votre autotité de certification

        keytool –certreq –alias myvdi.domaine.fr –file kmgr.csr –keystore kmgr.keystore

Faite ensuite un ls pour vérifier la présence des fichiers kmgr.csr et kmgr.keystore

Utiliser un utilitaire SFTP comme  WinSCP or FileZilla pour copier le CSR en local sur votre PC

Une certificat SSL valide  peut être obtenu chez de la plupart des autorités de certification.

Chaque CA et chaque certificat aura une chaîne de validation différente.

La plupart fournisse des certificats intermédiaires afin de compléter la chaîne.

Exemple de CA :  GoDaddy, GeoTrust, VeriSign, Thawte, DigiCert ou encore Startcom.

 

II Importer les certificats

Avec un utilitaire SFTP copier les certificats dans le dossier /home/kvm/keystore du serveur Vdi-In-A-Box

On utilise l’utilitaire Java keytool via une connexion ssh ou un accès console

ATTENTION : bien suivre l’ordre d’import (chaine) : root => intermediaire => ssl (public)

 

Se placer dans le dossier keystore

cd /home/kvm/keystore

1) Pour le certificat racine (fourni par votre CA). le nom du fichier ou l’extention varie en fonction de CA (ici ca.pem)

S’il s’agit d’une nouvelle chaine (nouveau root) le programme vous présente de certificat et vous demande l’autorisation de le « truster »

keytool –import –trustcacerts –alias root –file ca.pem –keystore kmgr.keystore

vous devez valider avec le mot de passe du keystore

2) Pour le certificat intermediaire(fourni par votre CA). le nom du fichier ou l’extention varie en fonction de CA (ici sub.class1.server.ca.pem)

  keytool –import –trustcacerts –alias interm  –file sub.class1.server.ca.pem –keystore kmgr.keystore

vous devez valider avec le mot de passe du keystore

3) Pour votre certificat ssl (fourni par votre CA suite à votre demande (CSR)). le nom du fichier ou l’extention varie en fonction de CA (ici ssl.crt)

ATTENTION de bien nommer l’alias avec le nom FQDN de votre Vdi-In-A-Box

keytool –import –trustcacerts –alias myvdi.domaine.fr –file ssl.crt –keystore kmgr.keystore

vous devez valider avec le mot de passe du keystore

A chaque fois vous devez avoir la confirmation que l’import c’est bien passé.

4) remplacer le certificat auto signé par le votre

cd /home/kvm/kvm/install/servlet_container/conf

 

faire une sauvegarde du fichier .keystore

mv .keystore old.keystore

Copier la nouvelle configuration dans le dossier conf

 cp /home/kvm/keystore/kmgr.keystore cp /home/kvm/keystore/kmgr.keystore .keystore

Faire un ls -al pour vérifier la présence des fichiers .keystore et old.keystore

 

5) indiquer à Tomcat le mot de passe du certificat (celui qui était identique au keystore dans l’exemple : MonBeauPass15)

Modifier le fichier server.xml

 sudo vi server.xml

localiser la section clientAuth et en fin de ligne (ou dessous) ajouter le paramètre :

 

keystorePass=”MonBeauPass15” ou password est le mot passe de votre certificat ssl

ATTENTION de ne pas effacer la fin de ligne (section) => />

  clientAuth= »false » sslProtocol= »TLS » URIEncoding= »UTF-8″

keystorePass=”MonBeauPass15”/>

Enregistrer et fermer vi

Redemmarer tomcat

 tc_start

Puis tester depuis votre navigateur en pointant avec le fqdn du Vdi-In-A-Box (pas l’IP).

Vous ne devez plus avoir d’alerte sur le certificat (vous pouvez l’afficher pour être sûr pour vérifier la chaine le nom….!)

 

 

Laisser un commentaire