Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : haproxy
reseau:cloud:haproxy

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:cloud:haproxy [2026/01/19 21:17] – [Convertir le certificat et éventuellement la chaîne de certificat en PEM] techer.charles_educ-valadon-limoges.frreseau:cloud:haproxy [2026/01/19 23:09] (Version actuelle) – [déposer le .pem dans /etc/haproxy/certs] techer.charles_educ-valadon-limoges.fr
Ligne 86: Ligne 86:
 ====== Utiliser des certificats signés par une CA Microsoft ====== ====== Utiliser des certificats signés par une CA Microsoft ======
  
-===== Obtenir les certificats intermédiaires ADCS ===== 
  
-   * se connecter à http://serveur-ADCS/certsrv 
-   * cliquez sur **Télécharger un certificat d'autorité de certification, une chaîne de certificats ou une liste de révocation des certificats** : 
  
-{{ :reseau:cloud:ca_11.png |}} +   
- +
-   * cliquez sur **Télécharger la chaîne de certificats d'autorité de certification** au format **Base 64** pour obtenir le fichier **certnew.p7b** : +
- +
-{{ :reseau:cloud:ca_12.png |}} +
- +
-   * sous Linux extraire uniquement les intermédiaires +
- +
-<code> +
-openssl pkcs7 -in certnew.p7b -print_certs -out chain-all.pem +
-</code> +
- +
-   * Puis extraire les intermédiaires : +
- +
-La racine a généralement un Subject = Issuer +
-Les intermédiaires ont Subject != Issuer +
- +
- +
- +
-Lien :   * [[reseau:certificat:camicrosoft:accueil|Gérer des certificats pour serveurs Debian avec la CA de Microsoft]] +
- +
-Le conteneur LXC ne peut pas demander automatiquement un certificat à la CA Microsoft.+
  
 ===== générer une clé + CSR dans le LXC ===== ===== générer une clé + CSR dans le LXC =====
Ligne 184: Ligne 160:
 {{ :reseau:cloud:ca_14.png |}} {{ :reseau:cloud:ca_14.png |}}
  
-===== Convertir la chaîne de certificat en PEM =====+===== Convertir le certificat et la chaîne de certificat en PEM ===== 
 +  * convertir le certificat 
  
 +<code>
 +openssl x509 -in certificat.cer -out certificat.crt
 +</code>
  
   * Convertir la chaîne de certificat du format .p7b au PEM (base 64)   * Convertir la chaîne de certificat du format .p7b au PEM (base 64)
Ligne 198: Ligne 178:
  
 <code> <code>
-cat server.key cert.pem chain.pem > fullchain.pem+cat server.key certificat.crt chain.pem > fullchain.pem
 </code> </code>
  
Ligne 210: Ligne 190:
 ==== Pour Apache2 ==== ==== Pour Apache2 ====
  
 +  * récupérer le certificat de l'autorité racine (Root CA), depuis Windows :
  
-Copie le certificat : +<code>
-scp user@windows:/path/to/guac.lab.local.cer /root/ +
- +
-Convertis-le si nécessaire : +
-Shellopenssl x509 -in guac.lab.local.cer -out guac.lab.local.crtAfficher plus de lignes +
-Copie également le certificat de l'autorité racine (Root CA), depuis Windows :+
 certutil -ca.cert rootCA.cer certutil -ca.cert rootCA.cer
 +</code>
  
-Puis convertis/le mets en .crt : +   * convertir en .crt :
-Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes +
-(si tu as une CA intermédiaire : fais pareil)+
  
-📦 Étape 4 — Construire le fichier .pem pour HAProxy +<code> 
-HAProxy doit avoir un seul fichier .pem contenant :+openssl x509 -in rootCA.cer -out rootCA.crt 
 +</code>
  
-la clé privée 
-le certificat serveur 
-la chaîne CA (intermédiaires + racine) 
  
-Exemple : +  * Recharger HAProxy
-Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt > \  /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes +
-Donne des permissions sécurisées : +
-Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes+
  
-🔄 Étape 5 — Recharger HAProxy+<code>
 haproxy -c -f /etc/haproxy/haproxy.cfg haproxy -c -f /etc/haproxy/haproxy.cfg
 systemctl reload haproxy systemctl reload haproxy
 +</code>
  
-Navigue ensuite vers : +   pour chaque application (app1.local, app1.local, etc.) 
-https://guac.lab.local +     * génération clé + CSR 
- +     * soumission à la CA Microsoft 
-Tu devrais obtenir aucune alerte SSL sur les PC du domaine Windows, car la CA Microsoft est déjà dans le magasin "Trusted Root Certification Authorities"+     * création du .pem final 
- +     * dépôt dans /etc/haproxy/certs/
-🔁 Répéter pour chaque application +
-Pour : +
- +
-grafana.lab.local +
-portainer.lab.local +
-vault.lab.local +
- +
-Tu répètes simplement : +
- +
-génération clé + CSR +
-soumission à la CA Microsoft +
-création du .pem final +
-dépôt dans /etc/haproxy/certs/+
  
 HAProxy détectera automatiquement le bon certificat grâce au SNI. HAProxy détectera automatiquement le bon certificat grâce au SNI.
Ligne 268: Ligne 226:
 Private key → “Key usage: Digital Signature + Key Encipherment” Private key → “Key usage: Digital Signature + Key Encipherment”
 Key length : 2048 ou 4096 bits Key length : 2048 ou 4096 bits
- 
-C'est LE bon template pour HAProxy. 
- 
-🧠 Résumé simple 
  
  
Ligne 314: Ligne 268:
  
  
 +sudo chown tomcat:tomcat /etc/tomcat9/ssl/sioguacamole.0870019y.lan.p12
 +sudo chmod 600 /etc/tomcat9/ssl/sioguacamole.0870019y.lan.p12
 +
 +
 +OLUTION : désinstaller libtcnative-1 pour forcer Tomcat à repasser en JSSE
  
 ====== Installer oauth2‑proxy dans le conteneur HAProxy ====== ====== Installer oauth2‑proxy dans le conteneur HAProxy ======
reseau/cloud/haproxy.1768853853.txt.gz · Dernière modification : 2026/01/19 21:17 de techer.charles_educ-valadon-limoges.fr