3.1 Remplacement des certificats auto-signés temporaires pour iManager

Les installations autonomes d'iManager incluent un certificat auto-signé temporaire qui devra être utilisé par Tomcat. Ce certificat expire après un an. NetIQ fournit ce certificat pour vous aider à rendre votre système opérationnel pour pouvoir utiliser iManager en toute sécurité immédiatement après l'installation du produit. NetIQ et OpenSSL déconseillent l'utilisation des certificats auto-signés hormis à des fins de tests. Au lieu de cela, vous devez remplacer le certificat temporaire par un fichier sécurisé.

Tomcat stocke le certificat auto-signé dans un fichier keystore qui utilise le fichier de format JKS Tomcat. Normalement, vous devriez importer une clé privée pour remplacer le certificat. Toutefois, l'outil de clé (keytool) que vous utilisez pour modifier le keystore Tomcat ne peut pas importer de clé privée. L'outil utilise uniquement une clé générée automatiquement.

Cette section explique comment générer une paire de clés publique/privée dans eDirectory à l'aide de NetIQ Certificate Server et pour remplacer le certificat temporaire. Si vous utilisez eDirectory, vous pouvez utiliser NetIQ Certificate Server pour générer, suivre, stocker et révoquer en toute sécurité des certificats sans autre implication.

REMARQUE :les informations de cette section ne concernent pas OES Linux, qui installe à la fois Tomcat et Apache. La documentation de OES Linux inclut des informations sur le remplacement du certificat Apache/Tomcat auto-signé.

3.1.1 Remplacement des certificats auto-signés iManager sous Linux

Cette section décrit comment créer une paire de clés dans eDirectory et exporter les clés Autorité de certification publique, privée et de racine via un fichier PKCS#12 sur la plate-forme Linux. Elle inclut la modification du fichier de configuration server.xml de Tomcat afin d'utiliser la directive PKCS12 et de faire pointer la configuration vers un fichier P12 proprement dit, plutôt que d'utiliser le keystore JKS par défaut.

Ce processus utilise les fichiers suivants :

  • /var/opt/Novell/novlwww/.keystore qui contient la paire de clés temporaire

  • /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts qui contient les certificats de racine approuvée

  • /etc/opt/novell/tomcat8/server.xml servant à configurer l'utilisation des certificats de Tomcat

Pour remplacer les certificats auto-signés sous Linux :

  1. Pour créer un nouveau certificat, procédez comme suit :

    1. Connectez-vous à iManager.

    2. Cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).

    3. Sélectionnez le serveur approprié.

    4. Spécifiez un alias pour le serveur.

    5. Acceptez le reste des paramètres par défaut du certificat.

  2. Pour exporter le certificat de serveur dans le répertoire privé de Tomcat, procédez comme suit :

    1. Dans iManager, sélectionnez Administration de l'annuaire > Modifier l'objet.

    2. Recherchez et sélectionnez l'objet KMO (Key Material Object).

    3. Cliquez sur Certificats > Exporter.

    4. Spécifiez un mot de passe.

    5. Enregistrez le certificat de serveur sous un fichier PKCS #12 (.pfx) dans le répertoire /var/opt/novell/novlwww.

  3. Pour convertir le fichier .pfx en fichier .pem, procédez comme suit :

    1. Entrez une commande telle que openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.

    2. Indiquez le même mot de passe que pour le certificat spécifié à l'Étape 2.

    3. Spécifiez un mot de passe pour le nouveau fichier .pem.

      Si vous le souhaitez, vous pouvez utiliser le même mot de passe.

  4. Pour convertir le fichier .pem en fichier.p12, procédez comme suit :

    1. Entrez une commande telle que openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".

    2. Indiquez le même mot de passe que pour le certificat spécifié à l'Étape 3.

    3. Spécifiez un mot de passe pour le nouveau fichier .p12.

      Si vous le souhaitez, vous pouvez utiliser le même mot de passe.

  5. Pour arrêter Tomcat, entrez la commande suivante :

    /etc/init.d/novell-tomcat8 stop

  6. Pour garantir que Tomcat utilise le nouveau fichier de certificat .p12 créé, ajoutez les variables keystoreType, keystoreFile et keystorePass dans le fichier de configuration Tomcat, par défaut /etc/opt/novell/tomcat8.0.22/server.xml. Par exemple :

    <Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
 port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
 acceptCount="100" debug="0" scheme="https" secure="true"
 useURIValidationHack="false" disableUploadTimeout="true">
   <Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
 clientAuth="false" protocol="TLS" keystoreType="PKCS12"
 keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>

    REMARQUE :Lorsque vous définissez le type de keystore sur PKCS12, vous devez spécifier le chemin d'accès complet au fichier de certificat, étant donné que Tomcat n'utilisera plus par défaut le chemin du répertoire privé de Tomcat.

  7. Pour vérifier que le fichier de certificat .p12 fonctionne correctement, procédez comme suit :

    1. Modifiez la propriété du fichier et attribuez-le à l'utilisateur/groupe Tomcat approprié. Par défaut novlwww. Par exemple, chown novlwww:novlwww newtomcert.p12.

    2. Modifiez les autorisations du fichier comme suit : user=rw, group=rw et others=r. Par exemple, chmod 654 newtomcert.p12.

  8. Pour redémarrer Tomcat, entrez la commande suivante :

    /etc/init.d/novell-tomcat8 start

3.1.2 Remplacement des certificats auto-signés iManager sous Windows

Cette section décrit comment créer une paire de clés dans eDirectory et exporter les clés Autorité de certification publique, privée et de racine via un fichier PKCS#12 sur la plate-forme Windows. Elle inclut la modification du fichier de configuration server.xml de Tomcat afin d'utiliser la directive PKCS12 et de faire pointer la configuration vers un fichier P12 proprement dit, plutôt que d'utiliser le keystore JKS par défaut.

Ce processus utilise les fichiers suivants :

  • C:\Program Files\Novell\Tomcat\conf\ssl\.keystore qui contient la paire de clés temporaire

  • C:\Program Files\Novell\jre\lib\security\cacerts qui contient les certificats de racine approuvée

  • C:\Program Files\Novell\Tomcat\conf\server.xml servant à configurer l'utilisation des certificats de Tomcat

Pour remplacer les certificats auto-signés sous Windows :

  1. Pour créer un nouveau certificat, procédez comme suit :

    1. Connectez-vous à iManager.

    2. Cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).

    3. Sélectionnez le serveur approprié.

    4. Spécifiez un alias pour le serveur.

    5. Acceptez le reste des paramètres par défaut du certificat.

  2. Pour exporter le certificat de serveur, procédez comme suit :

    1. Dans iManager, sélectionnez Administration de l'annuaire > Modifier l'objet.

    2. Recherchez et sélectionnez l'objet KMO (Key Material Object).

    3. Cliquez sur Certificats > Exporter.

    4. Spécifiez un mot de passe.

    5. Enregistrez le certificat de serveur sous un fichier PKCS #12 (.pfx).

  3. Pour convertir le fichier .pfx en fichier .pem, procédez comme suit :

    REMARQUE :par défaut, OpenSSL n'est pas installé sous Windows. Toutefois, vous pouvez télécharger une version pour la plate-forme Windows à partir du site Web OpenSSL. Vous pouvez également convertir le certificat sur une plate-forme Linux sur laquelle OpenSSL est installé par défaut. Pour plus d'informations sur l'utilisation de Linux afin de convertir le fichier, reportez-vous à la Section 3.1, Remplacement des certificats auto-signés temporaires pour iManager.

    1. Entrez une commande telle que openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.

    2. Indiquez le même mot de passe que pour le certificat spécifié à l'Étape 2.

    3. Spécifiez un mot de passe pour le nouveau fichier .pem.

      Si vous le souhaitez, vous pouvez utiliser le même mot de passe.

  4. Pour convertir le fichier .pem en fichier.p12, procédez comme suit :

    1. Entrez une commande telle que openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".

    2. Indiquez le même mot de passe que pour le certificat spécifié à l'Étape 3.

    3. Spécifiez un mot de passe pour le nouveau fichier .p12.

      Si vous le souhaitez, vous pouvez utiliser le même mot de passe.

  5. Copiez le fichier .p12 à l'emplacement du certificat Tomcat, par défaut C:\Program Files\Novell\Tomcat\conf\ssl\.

  6. Pour arrêter le service Tomcat, entrez la commande suivante :

    /etc/init.d/novell-tomcat8 stop

  7. Pour garantir que Tomcat utilise le nouveau fichier de certificat .p12 créé, ajoutez les variables keystoreType, keystoreFile et keystorePass dans le fichier server.xml Tomcat. Par exemple :

    <Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
 port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
 acceptCount="100" debug="0" scheme="https" secure="true"
 useURIValidationHack="false" disableUploadTimeout="true">
   <Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
 clientAuth="false" protocol="TLS" keystoreType="PKCS12"
 keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />

    Lorsque vous définissez le type de keystore sur PKCS12, vous devez spécifier le chemin d'accès complet au fichier de certificat, étant donné que Tomcat n'utilisera plus par défaut le chemin du répertoire privé de Tomcat.

  8. Démarrez le service Tomcat.