Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:cloud:haproxy [2026/01/19 20:59] – techer.charles_educ-valadon-limoges.fr
+++ reseau:cloud:haproxy [2026/01/19 23:09] (Version actuelle) – [déposer le .pem dans /etc/haproxy/certs] techer.charles_educ-valadon-limoges.fr
@@ Ligne 86: / Ligne 86: @@
 ====== Utiliser des certificats signés par une CA Microsoft ======
-===== Obtenir les certificats intermédiaires ADCS =====
-   * se connecter à http://serveur-ADCS/certsrv
-   * cliquez sur **Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation des certificats** :
-{{ :reseau:cloud:ca_11.png |}}
-   * cliquez sur **Télécharger la chaîne de certificats d'autorité de certification** au format **Base 64** pour obtenir le fichier **certnew.p7b** :
-{{ :reseau:cloud:ca_12.png |}}
-   * sous Linux extraire uniquement les intermédiaires
-<code>
-openssl pkcs7 -in certnew.p7b -print_certs -out chain-all.pem
-</code>
-   * Puis extraire les intermédiaires :
-La racine a généralement un Subject = Issuer
-Les intermédiaires ont Subject != Issuer
-Lien :   * [[reseau:certificat:camicrosoft:accueil|Gérer des certificats pour serveurs Debian avec la CA de Microsoft]]
-Le conteneur LXC ne peut pas demander automatiquement un certificat à la CA Microsoft.
 ===== générer une clé + CSR dans le LXC =====
@@ Ligne 154: / Ligne 130: @@
 </code>
 ===== soumettre la CSR à la CA Microsoft =====
    * Depuis un PC Windows membre du domaine, accédez à http://ADCS\_SERVER/certsrv
@@ Ligne 170: / Ligne 142: @@
 {{ :reseau:cloud:ca_10.png |}}
-    * copier-coller le contenu du fichier .csr encodé au format Base 64 et choisissez le modèle de certificat
+   * copier-coller le contenu du fichier .csr encodé au format Base 64 et choisissez le modèle de certificat
 {{ :reseau:cloud:ca_13.png |}}
@@ Ligne 176: / Ligne 148: @@
 <WRAP center round important>
 Important : le modèle de certificat doit autoriser :
-  * **Allow private key to be exported*→ pas nécessaire
-  * **Supply in the request** → obligatoire pour les SAN
+  * **Allow private key to be exported** => pas nécessaire
+  * **Supply in the request** => obligatoire pour les SAN
 </WRAP>
   * Téléchargez ensuite :
-    * le certificat au format Base64
+    * le certificat au format Base64 (.cer)
-    * la chaîne "CA certificate" (Root CA + éventuellement la subCA)
+    * la chaîne **CA certificate** (Root CA + éventuellement la subCA) (.p7b)
 {{ :reseau:cloud:ca_14.png |}}
-Tu obtiendras un fichier .cer.
+===== Convertir le certificat et la chaîne de certificat en PEM =====
+  * convertir le certificat
-🧱 Étape 3 — Convertir le certificat Microsoft en PEM
+<code>
-Dans le LXC :
+openssl x509 -in certificat.cer -out certificat.crt
-Copie le certificat :
+</code>
-scp user@windows:/path/to/guac.lab.local.cer /root/
-Convertis-le si nécessaire :
+  * Convertir la chaîne de certificat du format .p7b au PEM (base 64)
-Shellopenssl x509 -in guac.lab.local.cer -out guac.lab.local.crtAfficher plus de lignes
-Copie également le certificat de l'autorité racine (Root CA), depuis Windows :
-certutil -ca.cert rootCA.cer
-Puis convertis/le mets en .crt :
+<code>
-Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes
+openssl pkcs7 -print_certs -in certificate.p7b -out chain.pem
-(si tu as une CA intermédiaire : fais pareil)
+</code>
-📦 Étape 4 — Construire le fichier .pem pour HAProxy
+==== Pour HAProxy ====
-HAProxy doit avoir un seul fichier .pem contenant :
-la clé privée
+  * Construire le fichier .pem final contenant la clé privée, le certificat serveur et la chaîne (intermédiaires) :
-le certificat serveur
-la chaîne CA (intermédiaires + racine)
-Exemple :
+<code>
-Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt > \  /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
+cat server.key certificat.crt chain.pem > fullchain.pem
-Donne des permissions sécurisées :
+</code>
-Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
-🔄 Étape 5 — Recharger HAProxy
+  * Déposer le fichier dans **/etc/haproxy/certs/fullchain.pem**
-haproxy -c -f /etc/haproxy/haproxy.cfg
+  * Changer les droits :
-systemctl reload haproxy
-Navigue ensuite vers :
+<code>
-https://guac.lab.local
+chmod 600 /etc/haproxy/certs/fullchain.pem
+</code>
-Tu devrais obtenir aucune alerte SSL sur les PC du domaine Windows, car la CA Microsoft est déjà dans le magasin "Trusted Root Certification Authorities".
+==== Pour Apache2 ====
-🔁 Répéter pour chaque application
+  * récupérer le certificat de l'autorité racine (Root CA), depuis Windows :
-Pour :
-grafana.lab.local
+<code>
-portainer.lab.local
+certutil -ca.cert rootCA.cer
-vault.lab.local
+</code>
-Tu répètes simplement :
+   * convertir en .crt :
+<code>
+openssl x509 -in rootCA.cer -out rootCA.crt
+</code>
+  * Recharger HAProxy
+<code>
+haproxy -c -f /etc/haproxy/haproxy.cfg
+systemctl reload haproxy
+</code>
-génération clé + CSR
+   * pour chaque application (app1.local, app1.local, etc.)
-soumission à la CA Microsoft
+     * génération clé + CSR
-création du .pem final
+     * soumission à la CA Microsoft
-dépôt dans /etc/haproxy/certs/
+     * création du .pem final
+     * dépôt dans /etc/haproxy/certs/
 HAProxy détectera automatiquement le bon certificat grâce au SNI.
@@ Ligne 247: / Ligne 226: @@
 Private key → “Key usage: Digital Signature + Key Encipherment”
 Key length : 2048 ou 4096 bits
-C'est LE bon template pour HAProxy.
-🧠 Résumé simple
@@ Ligne 293: / Ligne 268: @@
+sudo chown tomcat:tomcat /etc/tomcat9/ssl/sioguacamole.0870019y.lan.p12
+sudo chmod 600 /etc/tomcat9/ssl/sioguacamole.0870019y.lan.p12
+OLUTION : désinstaller libtcnative-1 pour forcer Tomcat à repasser en JSSE
 ====== Installer oauth2‑proxy dans le conteneur HAProxy ======