étape 1 : Création de clés privées et de certificats

Pour améliorer la sécurité, créez votre propre clé privée ainsi qu'un certificat plutôt que d'utiliser les certificats auto-signés disponibles dans BigFix Inventory par défaut. Vous pouvez utiliser openSSL pour créer une clé privée ainsi qu'une demande de signature de certificat pouvant être transformée en certificat après avoir été signée par une autorité de certification.

Avant de commencer

A faire : Utilisez la dernière version d'OpenSSL pour créer des clés privées et des certificats.

Cette procédure s'applique à tous les systèmes d'exploitation qui prennent en charge openSSL.

Si vous générez une clé privée chiffrée au format pkcs8, ajoutez la ligne suivante au fichier :installation_dir/jre/lib/security/java.security
security.provider.10=org.bouncycastle.jce.provider.BouncyCastleProvider
Redémarrez ensuite le serveur BigFix Inventory.

Procédure

  1. Ouvrez la ligne de commande.
  2. Créez une clé privée. 
    openssl genrsa -des3 -out inventory.key -aes256 2048
    Par exemple, openssl genrsa -des3 -out inventory.key -aes256 2048
    Où :
    -des3
    Active le mot de passe de la clé privée. Ce paramètre est facultatif. Vous pouvez également activer le mot de passe pour une clé privée existante à l'aide de la commande suivante :
    openssl rsa -des3 -in path_to_private_key.key -out key_name.key
    nom_clé
    Nom de fichier de votre nouvelle clé privée.
    niveau_chiffrement_clé
    Niveau de chiffrement de la clé mesuré en bits. La valeur maximale que vous pouvez utiliser pour BigFix Inventory est de 2048 bits.
  3. Créez une demande de signature de certificat. La demande est associée à votre clé privée et est transformée en certificat ultérieurement.
    openssl req -new -key path_to_private_key.key -out csr_name.csr
    Par exemple, openssl req -new -key private_key.key -out CSR.csr
    Où :
    chemin_vers_clé_privée
    Chemin d'accès à votre clé privée.
    nom_dsc
    Nom de fichier de votre demande de signature de certificat.
    Après avoir exécuté la commande, vous êtes invité à fournir des informations qui aideront vos utilisateurs à identifier votre certificat et à garantir qu'il s'agit d'un certificat de confiance. L'extrait qui suit est issu de la ligne de commande et contient des exemples d'information :
    Country Name (2 letter code) [XX]: US
State or Province Name (full name) []: New York
Locality Name (eg, city) [Default City]: New York
Organization Name (eg, company) [Default Company Ltd]: HCL (eg, section) []: Software
Common Name (eg, your name or your server's hostname) []: inventory.bigfix.com
Email Address []: inventory@bigfix.com

Résultats

Au terme de ces étapes, deux fichiers sont créés : votre clé privée (.key) et la demande de signature de certificat (.csr).

Que faire ensuite

Signez la demande afin de la transformer en certificat. Pour plus d'informations sur la création d'une autorité de certification privée afin de signer la demande, voir Signature de certificats.