Comment exploiter le certificat et la clé issus de l’autorité de certification pour réaliser le déchiffrement SSL

CONTEXTE

Pour déchiffrer les flux SSL des pages HTTPS, la configuration du déchiffrement SSL est requise. Ce module nécessite un certificat de type « Autorité de certification racine de confiance ».

Si vous disposez d’une autorité de certification, vous pouvez extraire le certificat et la clé afin de l’utiliser dans cette démarche. Ce certificat d’autorité créera des signatures pour chiffrer les flux entre la passerelle de sécurité web Olfeo et le client.

Note : si vous ne disposez pas d’une autorité de certification vous pouvez générer un certificat auto-signé qu’il faudra déployer par GPO dans le magasin « Autorité de certification racine de confiance » des postes clients. Voir cet article pour la création du certificat : https://support.olfeo.com/kb/article/2723

ÉTAPES

Connectez-vous au serveur MS Windows qui dispose du rôle Services de certificats Active Directory.

Ouvrez le Gestionnaire de serveur, cliquez sur Outils puis sélectionnez Autorité de certification :

Dans la nouvelle fenêtre apparue, effectuez un clic droit sur votre autorité de certification, sélectionnez Toutes les tâches puis Sauvegarder l’autorité de certification… :

L’Assistant Sauvegarde d’autorité de certification apparaît, cliquez sur Suivant

A l’étape suivante, cochez l’option Clé privée et certificat d’autorité de certification puis définissez l’emplacement des fichiers en cliquant sur Parcourir… :

A l’étape suivante, ne renseignez pas de mot de passe et cliquez sur Suivant :

ATTENTION ! 

Attention, les certificats protégés par mot de passe ou passphrase ne sont pas supportés.

Cliquez sur Terminer afin de finaliser l’opération.

Vous obtenez un fichier de type PKCS12 (extension .P12) contenant le certificat de votre autorité et la clé privée :

Afin d’importer ces éléments dans la passerelle de sécurité web Olfeo, vous devez extraire le contenu de ce fichier. Pour cela vous pouvez utiliser divers outils selon le système d’exploitation à votre disposition :

• XCA (MS Windows)
• openssl (Linux)

XCA (MS Windows)

Téléchargez et installez l’outil XCA : https://sourceforge.net/projects/xca/files/xca/1.3.2/setup_xca-1.3.2.exe/download

Créez une nouvelle base de données en cliquant sur Fichier puis Nouvelle bases de données :

Dans le nouvelle fenêtre apparue, indiquez un emplacement pour la base de données (fichier .xdb) et renseignez un mot de passe, puis cliquez sur OK.

Cliquez sur le menu Importer puis sélectionnez PKCS#12 :

Indiquez l’emplacement du fichier avec l’extension .P12

Dans la nouvelle fenêtre apparue, cliquez sur Importer tout :

Pour exporter la clé privée, cliquez sur l’onglet Clés privées, sélectionnez la clé et cliquez sur Exporter.

Enregistrez le fichier au format PEM (*.pem) :

ATTENTION ! 

Attention à changer l’emplacement du fichier par défaut, un message d’erreur apparaît si vous ne personnalisez pas ce champ

Répétez la même opération dans l’onglet Certificats :

openssl (Linux)

Pour exporter la clé privée, exécutez la commande suivante :
openssl pkcs12 -in fichier.p12 -nocerts -out private.key

Exemple :

Pour exporter le certificat, exécutez la commande suivante :
openssl pkcs12 -in file_name.p12 -clcerts -nokeys -out public.crt

Exemple :

GESTION DU CERTIFICAT DANS OLFEO

Afin d’importer ces éléments dans la configuration du déchiffrement SSL, accédez au menu Proxy Cache QoS puis cliquez sur l’onglet Options globales SSL.

Importer le certificat et la clé privée sur cette page puis cliquez sur le bouton Valider.