Configuration des communications sécurisées

La clé privée chiffre la communication. La clé publique, contenue dans un certificat, déchiffre la communication. L'utilisation d'une communication chiffrée nécessite de créer une clé privée et un certificat associé. Vous pouvez partager la clé publique (le certificat) avec n'importe qui car elle n'est utilisée que pour lire la communication. La sécurité de votre communication dépend principalement de votre clé privée qui prouve votre identité et qui doit donc être stockée de manière sécurisée. Les clés sont créées de telle sorte qu'un message chiffré à l'aide de la clé privée ne peut être déchiffré qu'avec la clé publique qui lui est associée. Si une personne reçoit votre clé publique et peut déchiffrer votre communication à l'aide de cette clé, elle sait certainement que vous êtes l'auteur du message et qu'il n'a pas été falsifié en chemin. Sinon, la clé publique ne pourrait pas déchiffrer la communication.

BigFix Inventory fournit des certificats autosignés par défaut, qui ne sont toutefois pas destinés aux environnements de production. Pour améliorer la sécurité, créez votre propre clé privée ainsi qu'une demande de signature de certificat (CSR) pouvant être transformée en certificat après avoir été signée par une autorité de certification (CA). En signant votre demande, une autorité de certification approuve votre clé publique et certifie qu'elle est digne de confiance. Vous pouvez créer votre propre autorité de certification privée, utiliser l'autorité de certification de votre organisation, ou une autorité de certification sécurisée à l'international, telle que éntrust, VeriSign, etc.

La clé privée et le certificat associé sont transférés à BigFix Inventory. Après avoir activé les communications chiffrées, quiconque se connecte à votre serveur reçoit un certificat qui contient votre clé publique. Les communications suivantes issues du serveur sont chiffrées à l'aide de votre clé privée. Une fois qu'un utilisateur reçoit la communication, elle est déchiffrée avec le certificat qu'il a obtenu du serveur. Si le certificat peut déchiffrer la communication, on sait avec certitude que le serveur est l'émetteur du message et qu'il est valide.

Exigences en matière de paire de clés

Limitations

La paire de clés générée pour BigFix Inventory peut être utilisée pour Web Reports seulement si la clé privée n'est pas protégée par un mot de passe.

Structure et format de la clé privée et du certificat

• Format de clé privée
  • Codé en PéM sans protection par mot de passe. Vérifiez que la clé privée (private.key) est placée entre les instructions suivantes :

    -----BEGIN PRIVATE KEY-----
    <<base64 stringfrom private.key>>
    -----END PRIVATE KEY-----

  • Codé en PéM avec protection par mot de passe. Vérifiez que la clé privée (private.key) est placée entre les instructions suivantes :

    -----BEGIN ENCRYPTED PRIVATE KEY-----
    <<base64 stringfrom private.key>>
    -----END ENCRYPTED PRIVATE KEY-----

• Format du certificat X509
  Codé en PéM. Si vous avez également reçu les certificats intermédiaire et racine sous forme de fichiers distincts, combinez-les en un seul. Par exemple, si vous avez le fichier de certificat principal (certificate.crt) et le fichier de certificat intermédiaire (ca_intermediate.crt), combinez-les dans l'ordre ci-après.

  BEGIN CERTIFICATE-----
  <<primary certificate: base64 stringfrom certificate.crt>>
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  <<intermediate certificate: base64 stringfrom ca_intermediate.crt>>
  -----END CERTIFICATE-----

  Si vous avez reçu le certificat racine (ca_root.crt) en plus du certificat intermédiaire, combinez-les dans l'ordre suivant :

  BEGIN CERTIFICATE-----
  <<primary certificate: base64 stringfrom certificate.crt>>
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  <<intermediate certificate: base64 stringfrom ca_intermediate.crt>>
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  <<root certificate: base64 stringfrom ca_root.crt>>
  -----END CERTIFICATE-----

• Format de fichier unique (clé privée avec certificats)
  Codé en PéM. Ce fichier peut contenir la clé privée et le certificat principal ou la clé privée et la chaîne de certificats, combinés dans l'ordre suivant :

  • Clé privée et certificat principal.

    -----BEGIN CERTIFICATE-----
    <<primary certificate: certificate.crt>> 
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    <<private key: base64 stringfrom private.key>>
    -----END PRIVATE KEY-----

  • Clé privée, certificat principal et certificat intermédiaire.

    BEGIN CERTIFICATE-----
    <<primary certificate: base64 stringfrom certificate.crt>>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <<intermediate certificate: base64 stringfrom ca_intermediate.crt>>
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    <<private key: base64 stringfrom private.key>>
    -----END PRIVATE KEY-----

  • Clé privée, certificat principal, certificat intermédiaire et certificat racine.

    BEGIN CERTIFICATE-----
    <<primary certificate: base64 stringfrom certificate.crt>>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <<intermediate certificate: base64 stringfrom ca_intermediate.crt>>
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    <<root certificate: base64 stringfrom ca_root.crt>>
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    <<private key: base64 stringfrom private.key>>
    -----END PRIVATE KEY-----

Procédure

Pour créer votre paire de clés et activer la communication chiffrée, procédez comme suit. Si vous disposez déjà d'une paire de clés et souhaitez utiliser les certificats autosignés, vous pouvez directement passer à l'activation de la communication sécurisée.