étape 2 : Certificats de signature

Votre demande de signature de certificat (CSR) doit être signée par une autorité de certification (CA) pour être transformée en certificat pouvant être transféré à BigFix Inventory. Vous pouvez utiliser la bibliothèque cryptographique openSSL pour créer une autorité de certification privée et signer votre demande.

Avant de commencer

Il existe d'autres méthodes que l'utilisation d'une autorité de certification privée pour signer votre demande. Vous pouvez également envoyer la demande à des autorités de certification sécurisées à l'international, comme éntrust, VeriSign, etc. ou utiliser l'autorité de certification de votre organisation. Les certificats de ces autorités de certification sont souvent sécurisés par défaut et n'affichent aucun avertissement dans le navigateur. Il est possible que des avertissements apparaissent si vous utilisez une autorité de certification privée.

Procédure

  1. Créez une autorité de certification privée et un certificat associé.
    1. Créez une autorité de certification privée. Cette étape crée une clé privée (.key) et une demande (.csr) similaires à celles que vous avez créées dans Création de clés privées et de certificats.
      openssl req -new -newkey rsa:key_strength -nodes 
-out CA_csr_name.csr -keyout CA_key_name.key -sha256
      Par exemple, openssl req -new -newkey rsa:2048 -nodes -out CA_CSR.csr -keyout CA_private_key.key -sha256
      Où :
      niveau_chiffrement_clé
      Niveau de chiffrement de la clé mesuré en bits. La valeur maximale que vous pouvez utiliser pour BigFix Inventory est de 2048 bits.
      nom_dsc_AC
      Nom de fichier de la demande de signature de certificat. L'autorité de certification nécessite une demande séparée.
      nom_clé_AC
      Nom de fichier de la clé privée. L'autorité de certification nécessite une clé privée séparée.
    2. Créez un certificat pour votre autorité de certification privée. Cette étape crée un certificat (.arm) que vous pouvez utiliser pour signer votre CSR.
      openssl x509 -signkey path_to_CA_key.key -days 
number_of_days -req -in path_to_CA_csr.csr 
-out CA_certificate_name.arm -sha256
      Par exemple, openssl x509 -signkey CA_private_key.key -days 90 -req -in CA_CSR.csr -out CA_certificate.arm -sha256
      Où :
      niveau_chiffrement_clé
      Niveau de chiffrement de la clé mesuré en bits. La valeur maximale que vous pouvez utiliser pour BigFix Inventory est de 2048 bits.
      chemin_vers_dsc_AC
      Nom de fichier de la demande de signature de certificat que vous avez créée pour l'autorité de certification.
      chemin_vers_clé_AC
      Nom de fichier de la clé privée que vous avez créée pour l'autorité de certification.
      nombre_de_jours
      Nombre de jours de validité du nouveau certificat.
      nom_certificat_AC
      Nom de fichier du certificat de votre autorité de certification. Ce certificat est utilisé pour signer votre demande de signature de certificat.
  2. Utilisez le certificat de l'autorité de certification pour signer la demande de signature de certificat que vous avez créée dans Création de clés privées et de certificats.
    openssl x509 -req -days number_of_days -in path_to_csr.csr -CA path_to_CA_certificate.arm 
-CAkey path_to_CA_key.key -out new_certificate.arm -set_serial 01 -sha256
    Par exemple, openssl x509 -req -days 90 -in CSR.csr -CA CA_certificate.arm -CAkey CA_private_key.key -out certificate.arm -set_serial 01 -sha256
    Où :
    nombre_de_jours
    Nombre de jours de validité du nouveau certificat.
    chemin_vers_dsc
    Chemin d'accès à la demande de signature de certificat que vous voulez signer.
    chemin_vers_certificat_AC
    Chemin d'accès au certificat que vous avez créé pour l'autorité de certification.
    chemin_vers_clé_AC
    Chemin d'accès à la clé privée que vous avez créée pour l'autorité de certification.
    nouveau_certificat
    Nom de fichier du nouveau certificat créé à partir de votre demande de signature de certificat. Vous transférez ce certificat avec votre clé privée à BigFix Inventory.

Résultats

Vous venez de signer votre demande de signature de certificat et d'obtenir un nouveau certificat.

Que faire ensuite

Activez la communication chiffrée dans BigFix Inventory et transférer votre clé privée ainsi que le certificat. Ces fichiers remplacent le certificat autosigné qui est déjà disponible dans BigFix Inventory, et garantissent une communication sécurisée. Pour plus d'informations, voir : étape 3 : Activation de la communication sécurisée.