« Reverse proxy ActiveSync pour Serveur Microsoft Exchange » : différence entre les versions
Ligne 154 : | Ligne 154 : | ||
{{ Box Attention | objet=Si le '''certificat racine de l’AC''' n’est pas intégrée au système d’exploitation du client, ce dernier retournera un '''message d’alerte de sécurité''' pour tous les certificats délivrée pas l’AC. }} | {{ Box Attention | objet=Si le '''certificat racine de l’AC''' n’est pas intégrée au système d’exploitation du client, ce dernier retournera un '''message d’alerte de sécurité''' pour tous les certificats délivrée pas l’AC. }} | ||
* Exportation du '''certificat publique''' de l’autorité de certification : | |||
{{ Box Console | objet=root@SRVPROXY:~# cp /home/SRVPROXY/easy-rsa/pki/ca.crt /etc/ssl/certs/ }} | {{ Box Console | objet=root@SRVPROXY:~# cp /home/SRVPROXY/easy-rsa/pki/ca.crt /etc/ssl/certs/ }} | ||
Ligne 162 : | Ligne 162 : | ||
{{ Box Information | objet=Ce certificat sera à installer sur le terminal de l’utilisateur. }} | {{ Box Information | objet=Ce certificat sera à installer sur le terminal de l’utilisateur. }} | ||
* Création du répertoire spécifique pour les demandes de certificats des utilisateurs : | |||
{{ Box Console | objet=root@SRVPROXY:~# mkdir /home/SRVPROXY/clients-csr }} | {{ Box Console | objet=root@SRVPROXY:~# mkdir /home/SRVPROXY/clients-csr }} | ||
* Génération de la '''clé privée''' pour l’utilisateur '''CACHELN''' : | |||
{{ Box Console | objet=root@SRVPROXY:~# cd /home/SRVPROXY/clients-csr<br /> | {{ Box Console | objet=root@SRVPROXY:~# cd /home/SRVPROXY/clients-csr<br /> | ||
root@SRVPROXY:~# openssl genrsa -out CACHELN_19052022.key }} | root@SRVPROXY:~# openssl genrsa -out CACHELN_19052022.key }} | ||
* Génération de la '''demande de certificat''' pour l’utilisateur '''CACHELN''' ''(adapter les éléments en <span style="color:red">rouge</span>)'' : | |||
{{ Box Console | objet=root@SRVPROXY:~# openssl req –new –key CACHELN_19052022.key –out CACHELN_19052022.req<br /> | {{ Box Console | objet=root@SRVPROXY:~# openssl req –new –key CACHELN_19052022.key –out CACHELN_19052022.req<br /> | ||
Ligne 186 : | Ligne 186 : | ||
An optional company name []:<span style="color:red"><NE_RIEN_SAISIR></span> }} | An optional company name []:<span style="color:red"><NE_RIEN_SAISIR></span> }} | ||
* Importation de la '''demande de signature''' par l’'''autorité de certification''' : | |||
{{ Box Console | objet=root@SRVPROXY:~# cd ../easy-rsa<br /> | {{ Box Console | objet=root@SRVPROXY:~# cd ../easy-rsa<br /> | ||
root@SRVPROXY:~# ./easyrsa import-req ../clients-csr/CACHELN_19052022.req CACHELN_19052022 }} | root@SRVPROXY:~# ./easyrsa import-req ../clients-csr/CACHELN_19052022.req CACHELN_19052022 }} | ||
* Signature du certificat ''(la saisie de la Passphrase de l’AC sera requise)'' : | |||
{{ Box Console | objet=root@SRVPROXY:~# ./easyrsa sign-req client CACHELN_19052022 }} | {{ Box Console | objet=root@SRVPROXY:~# ./easyrsa sign-req client CACHELN_19052022 }} | ||
* Exportation du '''certificat de l’utilisateur''' au format '''p12''' ''(format exploitable par les terminaux utilisateurs)'' : | |||
{{ Box Console | objet=root@SRVPROXY:~# openssl pkcs12 -export -out pki/private/CACHELN_19052022.p12 -in pki/issued/CACHELN_19052022.crt -inkey ../clients-csr/CACHELN_19052022.key }} | {{ Box Console | objet=root@SRVPROXY:~# openssl pkcs12 -export -out pki/private/CACHELN_19052022.p12 -in pki/issued/CACHELN_19052022.crt -inkey ../clients-csr/CACHELN_19052022.key }} | ||
* Copier le certificat dans le répertoire SFTP '''/home/SRVPROXY/clients-csr''' pour pouvoir être téléchargé via un client SFTP : | |||
{{ Box Console | objet=root@SRVPROXY:~# cp pki/private/CACHELN_19052022.p12 /home/SRVPROXY/clients-csr<br /> | {{ Box Console | objet=root@SRVPROXY:~# cp pki/private/CACHELN_19052022.p12 /home/SRVPROXY/clients-csr<br /> |
Version du 14 juillet 2024 à 08:44
— Serveur Web —
Certificats SSL Web | .htaccess | Authentification par carte à puce | Certificats Let's Encrypt
Archives : Ancien article sur Apache2 | Module Whois | ProFTPd
|
Cet article est en cours de rédaction. |
Prérequis
- Disposer d'un PC qui sera dédié à cette fonction.
- Disposer d'une adresse IPv4 publique fixe dédiée pour cet équipement.
Installation du système d’exploitation Debian Bullseye
- Adapter les élément en rouge à votre configuration.
- Depuis le menu Debian GNU/Linux installer menu (BIOS mode) sélectionner le mode Install puis taper sur Entrée.
- Depuis la liste des Languages, sélectionner French – Français puis taper sur Entrée.
- Depuis la liste des Pays (territoire ou région), sélectionner France puis taper sur Entrée.
- Depuis la liste des Disposition de clavier à utiliser, sélectionner Français puis taper sur Entrée.
- Si la configuration réseau via DHCP ne fonctionne pas :
- Au message La configuration automatique a échoué taper sur Entrée.
- Depuis la liste Méthode pour la configuration du réseau, sélectionner Configurer vous-même le réseau puis taper sur Entrée.
- Dans le champ Adresse IP, saisir 192.168.1.10 puis taper sur Entrée.
- Dans le champ Valeur du masque-réseau, saisir 255.255.255.0 puis taper sur Entrée.
- Dans le champ Passerelle, saisir 192.168.1.1 puis taper sur Entrée.
- Dans le champ Adresses des serveurs de noms, saisir 192.168.1.1 puis taper sur Entrée.
- Dans le champ Nom de machine, saisir SRVPROXY puis taper sur Entrée.
- Dans le champ Domaine, saisir ncad.fr puis taper sur Entrée.
- Dans le champ Mot de passe du superutilisateur (‘root’), saisir <MDP_ROOT> puis taper sur Entrée.
- Dans le champ Confirmation du mot de passe, saisir de nouveau <MDP_ROOT> puis taper sur Entrée.
- Dans le champ Nom complet du nouvel utilisateur, saisir SRVPROXY puis taper sur Entrée.
- Dans le champ Identifiant pour le compte utilisateur, saisir de nouveau SRVPROXY puis taper sur Entrée.
- Dans le champ Mot de passe pour le nouvel utilisateur, saisir <MDP_LOGIN> puis taper sur Entrée.
- Dans le champ Confirmation du mot de passe, saisir <MDP_LOGIN> puis taper sur Entrée.
- Depuis la liste Méthode de partitionnement, sélectionner Assisté – utiliser tout un disque avec LVM.
- Depuis la liste Disque à partitionner, sélectionner SCSI1 (0,0,0) (sda) – XXX GB ATA XXX puis taper sur Entrée.
- Depuis la liste Schéma de partitionnement, sélectionner Partition /home séparée puis taper sur Entrée.
- À la question Ecrire les modifications sur les disques et configurer LVM, tabuler sur Oui puis taper sur Entrée.
- Depuis le champ Quantité d’espace sur le groupe de volumes pour le partitionnement assisté, saisir la valeur 10% puis taper sur Entrée.
- À la question Faut-il appliquer les changements sur les disques, tabuler sur Oui puis taper sur Entrée.
- Depuis la liste de sélection Pays du miroir de l’archive Debian, sélectionner France puis taper sur Entrée.
- Depuis la liste Miroir de l’archive Debian, sélectionner deb.debian.org puis taper sur Entrée.
- Depuis le champ Mandataire http (laisser vide si aucun), laisser vide puis taper sur Entrée.
- Si la machine ne parvient pas à se connecter aux serveurs de mise à jour Debian :
- À l’affichage de l’erreur Veuillez vérifier le miroir indiqué ou en essayer un autre, tabuler sur Revenir en arrière sur puis taper sur Entrée.
- À la question Faut-il continuer sans miroir sur le réseau, tabuler sur Oui puis taper sur Entrée .
- À la question Souhaitez-vous participer à l’étude statistique sur l’utilisation des paquets, tabuler sur Non puis taper sur Entrée.
- Depuis la liste des Logiciels à installer :
- Sélectionner utilitaires usuels du système et serveur SSH.
- Désélectionner environnement de bureau Debian et …GNOME puis tabuler sur Continuer et taper sur Entrée.
- À la question Installer le programme de démarrage GRUB sur le disque principal, tabuler sur Oui puis taper sur Entrée.
- Depuis la liste Périphérique où sera installé le programme de démarrage, tabuler sur /dev/sda (ata-XXX_XXXXXXXXXXXXXXXX) puis taper sur Entrée.
- À l’affichage de la fenêtre Installation terminée, retirez le support d’installation UBS puis taper sur Continuer pour redémarrer l’équipement.
Installation de base
|
Cette section est nécessaire uniquement si vous avez rencontré des problèmes de connexion réseau tel que décrit au point 23 de la section précédente. |
|
Avant de poursuivre, vérifier sur votre pare-feu que la machine est autorisée à sortir sur Internet. |
- À l’invite de commande, saisir le login SRVPROXY puis le mot de passe associé. Taper sur Entrée pour valider.
- Une fois connecter, basculer sur le compte root à l’aide de la commande :
su -
- Pour récupérer l’adresse IP locale de l’équipement, saisir la commande :
ip addr
- Une fois l’accès à Internet autorisé, mettre à jour la liste des paquets depuis les dépôts Debian avec la commande :
apt-get update
- Procéder à la mise à jour du système d’exploitation avec la commande :
dist-upgrade
et répondre O si besoin. - Editer le fichier de configuration /etc/apt/sources.list et y ajouter à la fin les lignes suivantes :
deb http://deb.debian.org/debian/ bullseye main
deb-src http://deb.debian.org/debian/ bullseye main
deb http://deb.debian.org/debian/ bullseye-updates main
deb-src http://deb.debian.org/debian/ bullseye-updates main - Rafraîchir la liste des dépôts Debian avec la commande :
apt-get update
- Puis, relancer l’installation des paquets openssh-server et vim en lançant la commande :.
apt-get install openssh-server vim sshpass zip mutt
Génération du certificat auto signé pour le serveur web
- Génération de la clé privée et enregistrement dans le fichier activesync.ncad.fr.key :
openssl genrsa -out activesync.ncad.fr.key 2048
- Génération de la demande de certificat :
openssl req –new –key activesync.ncad.fr.key –out activesync.ncad.fr.csr
Generating RSA private key, 2048 bit long modulus (2 primes) .................................................................................................................+++++ ..............................+++++ e is 65537 (0x010001)
- Une fois la clé privée générée, procéder à la génération du fichier de demande de certificat et l'enregistrer dans le fichier activesync.ncad.fr.csr :
openssl req -new -key activesync.ncad.fr.key -out activesync.ncad.fr.csr
- Puis, répondre au question du prompt en adaptant les éléments en rouge :
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:FR State or Province Name (full name) [Some-State]:FRANCE Locality Name (eg, city) []:FIGEAC Organization Name (eg, company) [Internet Widgits Pty Ltd]:NCAD Organizational Unit Name (eg, section) []:Direction des Systèmes d'Information Common Name (e.g. server FQDN or YOUR name) []:mail.ncad.fr Email Address []:noc@ncad.fr Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:*** An optional company name []:
- Signature du certificat à l'aide du fichier de demande de certificat et de la clé privée :
openssl x509 –req –days 3650 –in activesync.ncad.fr.csr –signkey activesync.ncad.fr.key –out activesync.ncad.fr.crt
- Déplacement de la clé privée et du certificat dans le répertoire /etc/ssl/private/ :
|
|
Installation de l’autorité de certification (AC)
L’autorité de certification est gérée avec le programme easy-rsa. Ce dernier permet l’installation de l’AC ainsi que les opérations courantes sur cette dernière.
- Installation du paquet easy-rsa :
|
|
- Création du répertoire hébergeant la configuration de l’autorité de certification :
|
|
- Restriction d’accès au répertoire à l’utilisateur SRVPROXY uniquement :
|
|
- Initialisation de l’Infrastructure de Clés Publiques (ICP) :
|
|
- Editer le fichier /home/SRVPROXY/easy-rsa/vars puis y insérer les lignes suivantes (adapter les éléments en rouge) :
set_var EASYRSA_REQ_COUNTRY "FR" set_var EASYRSA_REQ_PROVINCE "OCCITANIE" set_var EASYRSA_REQ_CITY "FIGEAC" set_var EASYRSA_REQ_ORG "NCAD" set_var EASYRSA_REQ_EMAIL "noc@ncad.fr" set_var EASYRSA_REQ_OU "Direction des Systèmes d'Information" set_var EASYRSA_ALGO "ec" set_var EASYRSA_DIGEST "sha512"
- Génération de la paire de clés root public et privé :
|
|
- À la demande du prompt, renseigner une Passphrase secrète. Elle sera demandée pour toutes opérations sur L’Autorité de Certification (création de certificats, renouvellement, révocation).
- À la demande d’un Common Name (CN) taper Entrée.
Intégration de l’AC au système d’exploitation
|
Si le certificat racine de l’AC n’est pas intégrée au système d’exploitation du client, ce dernier retournera un message d’alerte de sécurité pour tous les certificats délivrée pas l’AC. |
- Exportation du certificat publique de l’autorité de certification :
|
|
Génération d’un certificat client
|
Ce certificat sera à installer sur le terminal de l’utilisateur. |
- Création du répertoire spécifique pour les demandes de certificats des utilisateurs :
|
|
- Génération de la clé privée pour l’utilisateur CACHELN :
|
|
- Génération de la demande de certificat pour l’utilisateur CACHELN (adapter les éléments en rouge) :
|
|
- Importation de la demande de signature par l’autorité de certification :
|
|
- Signature du certificat (la saisie de la Passphrase de l’AC sera requise) :
|
|
- Exportation du certificat de l’utilisateur au format p12 (format exploitable par les terminaux utilisateurs) :
|
|
- Copier le certificat dans le répertoire SFTP /home/SRVPROXY/clients-csr pour pouvoir être téléchargé via un client SFTP :
|
|