Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : camicrosoft
reseau:certificat:camicrosoft:accueil

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:certificat:camicrosoft:accueil [2026/01/19 16:07] – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.frreseau:certificat:camicrosoft:accueil [2026/01/19 22:22] (Version actuelle) – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
Ligne 77: Ligne 77:
 ===== Configurer un serveur Debian ===== ===== Configurer un serveur Debian =====
 ==== Obtenir un certificat initial (bootstrap) ==== ==== Obtenir un certificat initial (bootstrap) ====
 +  * Lien  https://www.it-connect.fr/ad-cs-comment-delivrer-un-certificat-tls-pour-un-serveur-web-linux/
 === Générer une clé privée et un CSR === === Générer une clé privée et un CSR ===
 +
 +Pour les services comme Apache, Nginx, HAProxy ou Postfix, les clé privées sont enregistrées dasn le dossier **/etc/ssl/private/** : 
 +  * répertoire défini pour contenir les clés privées sensibles
 +  * avec les permissions suivantes : drwx--x--x root:root /etc/ssl/private
 +
     * En CLI     * En CLI
  
Ligne 84: Ligne 89:
 openssl genrsa -out /etc/ssl/private/server.key 2048 openssl genrsa -out /etc/ssl/private/server.key 2048
 chmod 600 /etc/ssl/private/server.key chmod 600 /etc/ssl/private/server.key
 +chown root:root /etc/ssl/private/server.key
 </code> </code>
 +
 +=== Gestion de la clé pour HAProxy ===
 +
 +HAProxy préfère un fichier unique PEM contenant (dans l'ordre) :
 +   * la clé privée,
 +   * le certificat du serveur, 
 +   * la chaîne intermédiaire
 +
 +Ce fichier PEM unique est placé dasn le dossier **/etc/haproxy/certs/**
 +
 +Contenu du fichier PEM :
 +<code>
 +-----BEGIN PRIVATE KEY-----
 +(key)
 +-----END PRIVATE KEY-----
 +-----BEGIN CERTIFICATE-----
 +(cert)
 +-----END CERTIFICATE-----
 +(intermediate chain)
 +</code>
 +  * Droits :
 +
 +<code>
 +chmod 600 /etc/haproxy/certs/nomsite.pem
 +chown root:root /etc/haproxy/certs/nomsite.pem
 +</code>
 +
 +=== Gestion de la clé pour Apache2 ===
 +
 +Dossiers de la clé et du certificat 
 +  * clé privée : /etc/ssl/private/nomsite.key
 +  * certificat : /etc/ssl/certs/nomsite.crt
 +
 +Configuration du fichier pioru le site Web **/etc/apache2/sites-enabled/site.conf** :
 +<code>
 +SSLCertificateFile /etc/ssl/certs/nomsite.crt
 +SSLCertificateKeyFile /etc/ssl/private/nomsite.key
 +</code>
 +
 +=== Gestion du certificat pour Tomcat9 ===
 +  * créer le dossier **/etc/tomcat9/ssl**
 +  * créer le fichier keystore unique contenant : 
 +    * la clé privée,
 +    * le certificat signé, 
 +    * la chaîne intermédiaire ADCS
 +
 +  * Création du keystore PKCS12 depuis les fichiers PEM :
 +
 +<code>
 +openssl pkcs12 -export \
 +   -inkey server.key \
 +   -in cert.pem \
 +   -certfile chain.pem \
 +   -out /etc/tomcat9/ssl/tomcat.p12
 +</code>
 +
 +  * Protection du certificat:
 +
 +<code>
 +
 +chmod 600 /etc/tomcat9/ssl/tomcat.p12
 +chown tomcat:tomcat /etc/tomcat9/ssl/tomcat.p12
 +
 +</code>
 +
 +  * Configuration Tomcat dans **/etc/tomcat9/server.xml**, dans le bloc <Connector HTTPS> :
 +
 +<code>
 +<Connector
 +     protocol="org.apache.coyote.http11.Http11NioProtocol"
 +     port="8443"*
 +     maxThreads="200"
 +     scheme="https"
 +     secure="true"
 +     SSLEnabled="true"
 +     keystoreFile="/etc/tomcat9/ssl/tomcat.p12"
 +     keystoreType="PKCS12"
 +     keystorePass="LE_MOT_DE_PASSE_DU_P12"
 +     clientAuth="false"
 +     sslProtocol="TLS" />
 +</code>
 +
 +   * relancer le service Tomcat9
 +
 +code>
 +systemctl restart tomcat9
 +</code>
 +
 +=== Génération du fichier de demande de signature pour le certificat ===
 +
  
 Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu : Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu :
Ligne 171: Ligne 267:
 </code> </code>
  
-=== soumettre la CSR à la CA Microsoft === +  * => obtenir un fichier .cer.
-Il faut disposer sur le serveur AD CS (ou d’un serveur disposant des outils d’administration nécessaires), d’un modèle de certificat adapté pour **Serveur Web** avec le rôle **Authentification du serveur** pour délivrer le certificat TLS.+
  
-   * Depuis un PC Windows membre du domaine, accédez à http://<ADCS\_SERVER>/certsrv +  * récupérer le certificat de l'autorité racine (Root CA), depuis Windows.
-   * Cliquez sur **Demander un certificat** +
  
-{{ :reseau:cloud:ca_09.png |}}+<code> 
 +certutil -ca.cert rootCA.cer 
 +</code>
  
-   Cliquez sur **demande de certificat avancée** :+  Copier le certificat .cer du serveur + celui de la CA dans le dossier conteneur LXC
  
-{{ :reseau:cloud:ca_10.png |}}+=== Dans le conteneur LXC Convertir le certificat Microsoft en PEM ===
  
-Request a certificate =>  +  * convertir les fichiers .cer en .crt
-advanced certificate request +
-submit a certificate request by using a base‑64 encoded file +
-Colle le contenu de guac.lab.local.csr+
  
-Sélectionne un template adapté, par exemple :+<code> 
 +openssl x509 -in guac.lab.local.cer -out guac.lab.local.crt 
 +openssl x509 -in rootCA.cer -out rootCA.crt 
 +</code>
  
-Web Server 
-Computer 
-ou un template personnalisé activé pour SAN 
  
-⚠ Important : dans la console CA, le template doit autoriser :+=== Construire le fichier .pem pour HAProxy ===
  
-"Allow private key to be exported" → pas nécessaire +HAProxy doit avoir un seul fichier .pem contenant : 
-"Supply in the request" → obligatoire pour les SAN+  * la clé privée du serveur 
 +  * le certificat serveur 
 +  * la chaîne CA (intermédiaires + racine)
  
-Télécharge ensuite :+<code> 
 +cat guac.lab.local.key guac.lab.local.crt rootCA.crt > /etc/haproxy/certs/guac.lab.local.pem 
 +</code>
  
-le certificat au format Base64 +  * Donner des permissions sécurisées :
-la chaîne "CA certificate" (Root CA + éventuellement la subCA)+
  
-Tu obtiendras un fichier .cer.+<code> 
 +chmod 600 /etc/haproxy/certs/guac.lab.local.pem 
 +</code>
  
-🧱 Étape 3 — Convertir le certificat Microsoft en PEM +=== Recharger HAProxy ===
-Dans le LXC : +
-Copie le certificat : +
-scp user@windows:/path/to/guac.lab.local.cer /root/+
  
-Convertis-le si nécessaire : +<code>
-Shellopenssl x509 -in guac.lab.local.cer -out guac.lab.local.crtAfficher plus de lignes +
-Copie également le certificat de l'autorité racine (Root CA), depuis Windows : +
-certutil -ca.cert rootCA.cer +
- +
-Puis convertis/le mets en .crt : +
-Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes +
-(si tu as une CA intermédiaire : fais pareil) +
- +
-📦 Étape 4 — Construire le fichier .pem pour HAProxy +
-HAProxy doit avoir un seul fichier .pem contenant : +
- +
-la clé privée +
-le certificat serveur +
-la chaîne CA (intermédiaires + racine) +
- +
-Exemple : +
-Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt \  /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes +
-Donne des permissions sécurisées : +
-Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes +
- +
-🔄 Étape 5 — Recharger HAProxy+
 haproxy -c -f /etc/haproxy/haproxy.cfg haproxy -c -f /etc/haproxy/haproxy.cfg
 systemctl reload haproxy systemctl reload haproxy
 +</code>
  
-Navigue ensuite vers +  * Naviguer ensuite vers le site https://guac.lab.local
-https://guac.lab.local +
- +
  
  
-➜  
-➜ L’utiliser pour s’authentifier auprès du CES 
-➜ Automatiser le renouvellement du certificat via CES 
-➜ Installer automatiquement le nouveau certificat dans le système 
reseau/certificat/camicrosoft/accueil.1768835274.txt.gz · Dernière modification : 2026/01/19 16:07 de techer.charles_educ-valadon-limoges.fr