certificate authority software

Transcription

A B A C U S
DESCRIPTIF D'INSTALLATION
SAAS ABAWEB
septembre 2014 / OM / COB
Version 5.5
Cette documentation est protégée par des droits d'auteur.
En particulier, le droit de copier, exposer, distribuer, traiter, traduire, transmettre ou enregistrer une partie ou l'ensemble du support par n'importe quel média (sous forme graphique, technique, électronique et/ou digitale, y inclus la
photocopie et le téléchargement) est strictement réservé à ABACUS Research SA.
Toute utilisation dans les cas mentionnés ou dans les cas autres que ceux autorisés par la loi, notamment toute utilisation commerciale, requiert auparavant un accord par écrit d'ABACUS Research SA.
D'après l'art. 67 al. 2 LDA, la violation par métier des droits d'auteurs peut être sanctionnée.
Copyright © 2014 by ABACUS Research SA, CH-9301 Wittenbach-St.Gall
Sommaire
1
Introduction .......................................................................................................................... 3
1.1
1.2
1.3
1.4
1.5
1.6
Avant-propos................................................................................................................... 3
Fonctionnement du modèle SaaS AbaWebFiduciaire .................................................... 3
Connexion ....................................................................................................................... 4
Termes ............................................................................................................................ 5
Recommandation système ............................................................................................. 6
Adresse IP fixe et nom du domaine ................................................................................ 6
2
Installation sous Windows .................................................................................................. 7
3
Installation sous MAC ......................................................................................................... 9
4
Installation sous Linux ...................................................................................................... 11
5
Configuration du WebServer ............................................................................................ 15
5.1
Communication entre WebServer et AppServer .......................................................... 15
5.2
Communication avec l'iPad .......................................................................................... 16
5.3
Communication avec MyAbacus .................................................................................. 16
5.4
Loadbalancing (répartition des charges) ...................................................................... 17
5.4.1
Introduction ............................................................................................................ 17
5.4.2
Configuration ......................................................................................................... 17
5.5
Configuration du pare-feu ............................................................................................. 18
5.6
Autoriser le login Web uniquement avec un certificat................................................... 19
5.6.1
Modifier la page de login ....................................................................................... 20
6
Certificats SSL.................................................................................................................... 21
6.1
Qu'est-ce qu'un certificat SSL ....................................................................................... 21
6.2
Solliciter un certificat ..................................................................................................... 21
6.3
Solliciter un certificat ..................................................................................................... 23
6.4
Implémentation d'un certificat SSL ............................................................................... 23
6.5
Certificats intermédiaires .............................................................................................. 24
6.5.1
Qu’est-ce qu'un certificat intermédiaire ................................................................. 24
6.5.2
Contrôle de la chaîne de certification .................................................................... 25
6.5.3
Implémentation d'un certificat intermédiaire .......................................................... 27
7
Mise à jour du WebServer ................................................................................................. 29
7.1
Liste de contrôle ........................................................................................................... 30
Introduction
1
1 Introduction
1.1 Avant-propos
Ce descriptif d'installation vous donne un aperçu de l'environnement AbaWeb à partir duquel il
est possible d'accéder à ABACUS via Internet. Nous partons du principe que l'installation et la
configuration ont été effectuées par une personne compétente en la matière et que l'utilisateur
dispose des connaissances nécessaires sur le réseau et le pare-feu (firewall).
1.2 Fonctionnement du modèle SaaS AbaWebFiduciaire
À l'aide de la représentation ci-dessous, nous vous expliquons rapidement le fonctionnement
technique du modèle. Un utilisateur externe (utilisateur SaaS) (A) peut directement se connecter par le navigateur Internet à l'AppServer de l'exploitant d'installation et travailler avec l'abonnement qui lui a été attribué (C). Cet abonnement est mis à sa disposition depuis le Cloud, via
notre portail d'enregistrement AbaSky (D).
Pour un bon fonctionnement, l'AppServer doit être accessible directement depuis Internet. Du
point de vue de la sécurité, nous recommandons cet accès via un WebServer (B). Le WebServer ABACUS se nomme Sioux, du même nom que les services AbaSiouxSecure et AbaSioux.
C
D
B
A
Recommandation
Nous vous recommandons d'installer le WebServer dans une zone protégée (DMZ).
SaaS AbaWeb Descriptif d'installation V5.5
Page 3
Introduction
1
1.3 Connexion
L'utilisateur commence par une connexion SSL cryptée depuis Internet, connexion qui sera
fixée sur le WebServer. Ce dernier communique ensuite avec l'AppServer via le port 40020. La
communication n'est pas cryptée. Via une connexion cryptée SSL, l'AppServer va chercher les
abonnements correspondants et les droits d'accès aux mandants accordés à l'utilisateur SaaS
sur notre portail AbaSky.
Utilisateur SaaS
WebServer
DMZ
Port
443
Port
40020
Port
443
AppServer
Indication
Les informations sont transférées via Transmission Control Protocol (TCP).
Une connexion TCP est toujours bidirectionnelle. Si une connexion est ouverte,
les informations peuvent circuler dans les deux directions.
Page 4
Introduction
1
1.4 Termes
Les expressions utilisées dans ce descriptif d'installation sont expliquées ci-dessous.
Explications des termes
WebServer
Serveur, dont l'accès se fait directement depuis Internet et qui affiche
les pages Web ou qui transmet les demandes.
HTTP
Protocole non crypté pour la transmission des contenus Web. Les applications Java d'ABACUS peuvent utiliser ce protocole pour communiquer avec le serveur.
Port pour HTTP
Le n° de port standard pour HTTP est le port 80
HTTPS
Une combinaison de SSL et HTTP, c'est-à-dire un protocole crypté
pour la transmission des contenus Web. Les applications Java d'ABACUS peuvent utiliser ce protocole pour communiquer avec le serveur.
Port pour HTTPS
Le n° de port standard pour HTTPS est le port 443
SSL
Protocole Internet crypté
Certificat SSL
Certificat, installé sur le WebServer, qui permet aux demandes effectuées depuis Internet d'être acceptées seulement par le serveur indiqué
dans l'URL et non pas interceptées n'importe où en chemin. Un certificat SSL confirme l'appartenance d'une URL à un WebServer particulier.
AbaSioux
Service WebServer pour ABACUS
AbaSiouxSecure
Service WebServer plus sûr pour ABACUS
AbaSky
Plate-forme Internet hébergée par ABACUS. Elle permet l’accès à l'installation ABACUS de l'exploitant et à ses abonnements.
Utilisateur SaaS
Utilisateur Software-as-a-Service. Nommé aussi "Utilisateur externe".
DMZ
Zone démilitarisée. Le but d'une DMZ est de créer un environnement
sécurisé dans lequel se trouve le WebServer. Le WebServer est accessible par des personnes extérieures / par Internet mais n'a pas
d'accès direct au réseau interne.
Page 5
Introduction
1
1.5 Recommandation système
L'installation du WebServer n'implique aucun système d'exploitation spécial. Nous déconseillons d'utiliser un serveur ISA Microsoft. La configuration requise pour ce WebServer est la suivante:
Attention: thématique 32-bits/64-bits
La version ABACUS 2012 n'est plus livrée dans la version 32 bits. Si vous avez installé la version ABACUS 2012 sur l'AppServer, vous devez également installer la version 2012 pour le
WebServer. Pour cela, un système d'exploitation 64 bits doit être installé sur le WebServer.
Système d’exploitation: Les systèmes d'exploitation acceptés sont décrits dans les configurations requises des logiciels ABACUS:
http://www.abacus.ch/fr/downloads-page/recommandationssysteme/
Processeur:
2 GHz (Single-Core)
Mémoire vive:
Au moins 1024 Mo RAM
Place nécessaire:
Dépend du système d'exploitation (10-40 Go)
Cette machine ne sert qu'à la communication entre les demandes depuis Internet et le serveur
des applications ABACUS. Il est conseillé de n'installer aucun autre service que les services
AbaSioux et de n'y classer en aucun cas des documents importants.
1.6 Adresse IP fixe et nom du domaine
Le WebServer nécessite une adresse IP fixe pour que votre installation soit accessible depuis
Internet. Il est conseillé d'attribuer un nom de domaine à cette adresse. Ce nom sera normalement enregistré dans un sous-domaine de votre adresse Internet existante.
Exemple
abaweb.votredomaine.com ou abacus.votredomaine.ch
votredomaine correspond au nom du domaine de votre adresse Internet (par ex. abacus.ch).
La désignation à gauche de votredomaine correspond à un sous-domaine qui peut être choisi
librement.
Le nom DNS (nom de domaine) de cet exemple est: abaweb.abacus.ch.
Veuillez contacter votre fournisseur de services Internet pour une adresse IP (payante) et le
nom de domaine (gratuit) s'y rapportant.
Page 6
Installation sous Windows
2
2 Installation sous Windows
Il existe deux fichiers différents pour effectuer l'installation: abasetup.exe et abasetupconsole.exe. Si vous démarrez le fichier abasetup.exe, vous serez guidé à travers l'installation au
moyen d'une interface graphique. Avec le fichier abasetupconsole.exe, vous ne disposez que
de la console pour configurer l'installation.
Remarque importante
Vous avez besoin des droits de l'administrateur pour installer AbaSioux.
Déroulement
1. Insérez le DVD programme dans le lecteur de DVD de votre ordinateur. Si le setup ne démarre pas automatiquement, démarrez abasetup.exe manuellement depuis le lecteur DVD.
2. L'assistant d’installation démarre avec la fenêtre d'accueil, dans laquelle vous pouvez modifier la langue d'installation le cas échéant. Appuyez ensuite sur la touche <Suivant>.
Windows demande le chemin pour l'installation dans la fenêtre suivante. Appuyez sur la
touche <Suivant> après indication du chemin.
Aucun espace vide dans les chemins
Le chemin ne doit comporter ni caractères spéciaux, ni espaces.
4. Dans la fenêtre suivante, le type d'installation vous sera demandé.
Choisissez cette option et cliquez sur <Suivant>.
Page 7
Installation sous Windows
2
Choisir seulement AbaSioux
Il s'agit d'une nouvelle option à partir de la version ABACUS 2013. Cette simplification permet
d'éviter d'autres paramétrages, comme aucune installation de la base de données ou du mandant de démonstration.
5. Lisez attentivement les clauses de la licence et acceptez-les pour pouvoir poursuivre l'installation.
6. L'assistant d'installation regroupe encore une fois vos paramètres choisis pour l'installation.
Vous pouvez donc procéder, une dernière fois, à d’éventuelles modifications concernant
l’installation d’ABACUS. Utilisez la touche <Précédent> pour effectuer des modifications ou
<Suivant> pour démarrer l'installation. L'installation va maintenant être exécutée. À la fin,
une confirmation s'affiche indiquant que l'installation s'est terminée avec succès.
Après l'installation, la structure suivante des dossiers se trouve sur votre WebServer:
..\abac\...
Page 8
Installation sous MAC
3
3 Installation sous MAC
Insérez le DVD programme dans le lecteur de DVD de votre ordinateur. Si le setup ne démarre
pas automatiquement, démarrez le fichier abasetup.app manuellement depuis le lecteur DVD.
Attention
Le système d'exploitation Mac OS X 10.8 (Moutain Lion) est la condition préalable pour l'installation du WebServer de la version ABACUS 2014.
L'assistant d’installation démarre avec la fenêtre d'accueil, dans laquelle vous pouvez modifier
la langue d'installation le cas échéant. Appuyez ensuite sur la touche <Suivant>.
Dans la fenêtre suivante, le type d'installation vous sera demandé.
Choisissez l'option "Seulement AbaSioux" et cliquez sur <Suivant>. Lisez attentivement les
clauses de la licence et acceptez-les pour pouvoir poursuivre l'installation.
L'assistant d'installation regroupe encore une fois vos paramètres choisis pour l'installation.
l’installation d’ABACUS. Utilisez la touche <Précédent> pour effectuer des modifications ou
<Suivant> pour démarrer l'installation. L’installation est maintenant en cours.
Page 9
Installation sous MAC
3
Après l'installation, la structure suivante des dossiers se trouve sur votre WebServer:
\Library\Abacus
Indication
Les services ABACUS AbaSioux et AbaSiouxSecure peuvent être stoppés ou démarrés via le
terminal avec la commande suivante sudo Library/Abacus/etc/init.d/abacus stop ou start La
commande status permet de contrôler si ces services fonctionnent correctement.
Exemple
Stopper les services ABACUS
Démarrer les services ABACUS
Interroger le statut
Page 10
Installation sous Linux
4
4 Installation sous Linux
Connectez-vous au serveur Linux en tant qu'utilisateur root ou utilisateur avec des droits root.
Attention
Les distributions Ubuntu 12.04 LTS et Suse Linux Enterprise Server 11 (SLES) dès SP3 sont
officiellement acceptées. Le descriptif d'installation se base sur une version Ubuntu 12.04.
Les versions Suse Linux Enterprise Server 11 (SLES) dès SP3 et UBUNTU 12.04 LTS sont la
condition préalable pour l'installation du WebServer de la version ABACUS 2014.
Deux variantes d'installation du WebServer:
Variante 1:
Si vous effectuez une installation directement à partir du DVD, veuillez procéder de la manière
suivante: insérez le DVD dans le lecteur de votre serveur. Si AutoMount est activé sur votre
système, le DVD sera automatiquement lié à /media.
Auto-Mount est cependant inactivé sur la plupart des environnements Linux. Vous devez donc
éventuellement d'abord monter le CD-ROM. Ouvrez pour cela le terminal dans votre version
Linux et indiquez la commande suivante:
Commande
mount /dev/cdrom /mnt
Les données du DVD se trouveront ensuite dans le répertoire /mnt. Dans le cas de AutoMount,
les données se trouvent sous /media.
Démarrez le setup en exécutant le script setup.sh comme suit:
Commande
./setup.sh
Variante 2:
Si vous avez enregistré le fichier *.iso de la version ABACUS sur un serveur Windows dans un
répertoire partagé, vous pouvez connecter le partage avec une commande sur le serveur Linux.
Information
Comme le fichier *.iso doit être ensuite connecté, nous recommandons de créer deux nouveaux
dossiers dans le répertoire /mnt.
Page 11
4
Déroulement
1. Démarrez le terminal sur votre serveur Linux
2. Passez dans le répertoire /mnt avec la commande cd /mnt
3. Créez deux nouveaux dossiers avec les commandes mkdir server et mkdir iso
4. "Montez" le fichier *.iso de votre partage Windows.
Commande "Connecter partage serveur"
sudo mount –t cifs //server/partage /mnt/server -o username=votre utilisateur,password=votre
mot de passe
Les données du partage Windows se trouveront ensuite dans le répertoire /mnt/mnt/server
Attention
Afin que la connexion à votre version UBUNTU Linux fonctionne, le smb-client doit exister. Si
ce n'est pas le cas, vous pouvez l'installer avec la commande suivante:
sudo apt-get install smbfs. Vous trouverez plus d'informations à ce sujet ici.
5. Passez maintenant dans le répertoire dans lequel se trouve le fichier *.iso et copiez-le sur le
serveur Linux avec la commande suivante:
Commande
scp –r fichier *.iso /home/utilisateur concerné
6. Après avoir copié le fichier sur le serveur Linux, passez dans le répertoire /home/utilisateur
concerné et indiquez la commande suivante:
Commande
mount –o loop –t iso9660 fichier *.iso /mnt/iso
7. Passez dans le répertoire /mnt/iso et démarrez le setup en exécutant comme suit le script
setup.sh:
Commande
./setup.sh
Page 12
4
L’installation commence et vous avez la possibilité de choisir la langue d’installation. Pour une
installation en français, indiquez simplement un "2" pour continuer et confirmez cette entrée
avec la touche [ENTER].
Après avoir confirmé la touche "2", le genre d'installation est demandé. Choisissez ici le chiffre
2 pour l'installation "Seulement AbaSioux". Confirmez la saisie avec la touche [S] et [ENTER].
Vous devez ensuite lire attentivement le contrat de licence et confirmez avec [S] et [ENTER]
pour continuer l'installation.
L'assistant d'installation regroupe encore une fois vos paramètres choisis pour l'installation.
l’installation d’ABACUS. Utilisez la touche [P] et ensuite [ENTER] pour effectuer des modifications ou [S] et [ENTER] pour démarrer l'installation. L'installation va maintenant être exécutée. À
la fin, une confirmation s'affiche indiquant que l'installation s'est terminée avec succès. Quittez
le procédure d'installation avec [A] et [ENTER].
Attention
Pendant l'installation d’ABACUS sous LINUX (Ubuntu), le setup s'interrompt si Library n’est
pas installé.
Le setup exige Library libstdc++.6.so, libaio1 ou lsb. Ils doivent encore être installés. Exécutez
la commande sudo apt-get install libaio1, sudo apt-get install lsb et sudo apt-get install ia32libs .. Une fois installés, vous pouvez redémarrer l'installation avec la commande ./setup.sh.
Page 13
4
Après une installation réussie, vous découvrez un nouveau répertoire nommé "abacus" dans le
répertoire /opt. Les fichiers WebServer (abasioux standalone) y sont placés.
Indication
Les services ABACUS AbaSioux et AbaSiouxSecure peuvent être stoppés ou démarrés via le
terminal avec la commande suivante /etc/init.d/abacus stop ou start. La commande status permet de contrôler si ces services fonctionnent correctement.
Exemple
Stopper les services ABACUS
Démarrer les services ABACUS
Interroger le statut
Page 14
Configuration du WebServer
5
5 Configuration du WebServer
5.1 Communication entre WebServer et AppServer
Pour que le WebServer puisse transmettre les demandes depuis Internet à l'AppServer, le fichier AbaServices.ini doit être modifié manuellement dans le répertoire ..\abac\system sur le
WebServer.
1. Pour HostULC de l'AppServer, indiquez l'adresse IP de l'AppServer au lieu de
l'adresse IP 127.0.0.1.
Attention
À partir de la version ABACUS 2014, les configurations pour l'AbaInterfaceServer se trouvent
par défaut dans le fichier abaservices.ini. Vous avez besoin de ces configurations si vous utilisez la solution iPad AbaSmart ou si vous travaillez avec les WebServices.
Dans ce cas, modifiez l'adresse localhost 127.0.0.1 sur l'adresse IP indiquée pour l'AppServer.
Si vous n'utilisez ni AbaSmart ni les WebServices, vous pouvez ignorer ces modifications et
laisser les informations prédéfinies.
2. Stoppez & démarrez maintenant les services "AbaSioux" et "AbaSiouxSecure". --> Start
(Windows) --> Exécuter --> Saisir "services.msc"
L'accès à votre serveur des applications peut maintenant se faire via un navigateur Internet:
Attention
Cette connexion n'est pas sécurisée par un certificat SSL valable. L'acquisition d'un certificat
SSL avec son intégration dans le WebServer est décrite au chapitre 6.
Page 15
5
5.2 Communication avec l'iPad
Afin de pouvoir utiliser également les iPads via le WebServer, l'entrée suivante doit être ajoutée
dans le fichier AbaServices.ini. Les versions ABACUS 2012 et 2013 installées sur votre WebServer sont concernées.
[AbaInterfaceServer]
host=172.25.81.208 >> indiquez ici l'adresse IP de l'AppServer
Port=40005
PortServlet=40004
Votre fichier AbaServices.ini se présente ainsi:
5.3 Communication avec MyAbacus
Vous pouvez utiliser la nouvelle fonction "MyAbacus" à partir de la version ABACUS 2014 avec
le servicepack du 20.05.2014. Afin de pouvoir l'utiliser via le WebServer, l'entrée suivante doit
être ajoutée dans le fichier AbaServices.ini:
[AbaProcessEngine]
Host=77.74.1.131 >> indiquez ici l'adresse IP de l'AppServer
PortServlet=40043
Votre fichier AbaServices.ini se présente ainsi:
Page 16
5
5.4 Loadbalancing (répartition des charges)
5.4.1 Introduction
À partir de la version ABACUS 2009, il existe une possibilité de LoadBalancing ou autrement dit
de répartition des charges des divers services ABACUS. Sous LoadBalancing, on entend le
procédé qui permet de respecter les limites de capacités lors de la sauvegarde, du transport et
du traitement d'objets.
La configuration du LoadBalancing se présente de façon simple dans le Servicemanager ABACUS. Dans le Servicemanager se trouve un nouveau symbole dans la barre d'outils. Le symbole se nomme LoadBalancing et est libéré avec la licence correspondante.
Attention
Veillez à ce que personne ne se trouve dans ABACUS. Aucun utilisateur ne doit être connecté
au système pendant que cette configuration est effectuée.
5.4.2 Configuration
Après avoir démarré le Servicemanager, cliquez une fois sur le symbole LoadBalancing.
Le dialogue setup du LoadBalancing apparaît alors.
Choisissez Tous les services sur un seul serveur physique et cliquez sur <Suivant>. Vous accédez maintenant au choix des services concernés qui sont disponibles. Choisissez ici le
nombre maximum d'instances pour lesquelles vous avez une licence et cliquez sur <Suivant>.
Page 17
5
Vous obtenez maintenant une récapitulation de votre configuration. Les services seront enregistrés avec <Activer les paramètres>. Vous pouvez maintenant démarrer les services ABACUS,
les utilisateurs peuvent à nouveau s'annoncer.
Le numéro de port existant 40020 doit être changé par 40120 dans le fichier AbaServices.ini sur
le WebServer. Les services ABACUS AbaSioux et AbaSiouxSecure doivent ensuite être stoppés et redémarrés sur le WebServer.
Attention
Dans le pare-feu, tous les numéros de port (40120, 40220, 40320 etc.) des instances AbaApplicationSever utilisées pour l'AppServer doivent être ouverts.
5.5 Configuration du pare-feu
Les ports suivants doivent être ouverts dans le pare-feu pour un parfait déroulement:
AbaSioux
AbaSiouxSecure
AbaSioux - AbaApplicationserver
AbaSioux - AbaApplicationserver
AbaSioux – AbaInterfaceServer
AbaSioux – AbaInterfaceServer
AbaSioux – AbaProcessEngine
80
443
40020
40120
40004
40005
40043
(http)
(https)
(ou selon entrée dans AbaServices.ini)
(pour Loadbalancing actif)
(pour utilisation d'iPads ou WebServices)
(pour utilisation d'iPads ou WebServices)
(utilisation de MyAbacus)
Attention
La connexion SSL du Client vers le WebServer ne doit en aucun cas être interrompue et à
nouveau rétablie (par ex. par un Proxy / ISA), sinon le certificat de l'utilisateur n'atteint pas le
WebServer!
Page 18
5
5.6 Autoriser le login Web uniquement avec un certificat
ABACUS fournit toujours votre page standard de login ABACUS avec la possibilité de s'inscrire
avec le nom et le mot de passe dans ABACUS. Très souvent, un login de personnes externes
ne peut s'effectuer qu'avec un certificat pour des raisons de sécurité.
Pour que personne ne puisse plus imposer une URL dans le navigateur avec un login nom/mot
de passe, le fichier abaservices.ini doit être également adapté dans le répertoire abac\system
sur l'AppServer. Complétez le fichier avec l'entrée suivante:
[Security]
MandatoryCertificateHosts=Computername_du_WebServer
Exemple
Attention
Si l'AppServer est indiqué, plus aucun utilisateur ne peut ouvrir une session dans ABACUS
via le nom d'utilisateur et le mot de passe. Cette configuration ne peut être définie que si
vous disposez d'un WebServer distinct.
Page 19
5
5.6.1 Modifier la page de login
Si vous souhaitez supprimer le choix/lien permettant de se connecter dans ABACUS avec le
nom d'utilisateur et un mot de passe, vous pouvez l'indiquer dans le fichier index.html. Ce fichier
se trouve dans le répertoire abac\http_root.
Exemple (ABACUS Version 2014)
Supprimez simplement la ligne sélectionnée.
Page 20
Certificats SSL
6
6 Certificats SSL
6.1 Qu'est-ce qu'un certificat SSL
Un certificat SSL confirme l'appartenance d'une URL à un WebServer particulier. La sécurité
des demandes sur le WebServer ne peut pas être garantie sans certificat SSL.
6.2 Solliciter un certificat
Avant de pouvoir solliciter un certificat SSL auprès d'une CA (Certification Authority), vous devez faire une demande de certificat. Cette demande est générée à l'aide du fichier openssl.exe.
Ce dernier se trouve sur le WebServer ou AppServer dans le répertoire ..\abac\df_win64.
Indication
La demande de certificat ne doit pas être créée sur le serveur sur lequel le certificat SSL sera
installé ultérieurement.
Attention - les versions ABACUS jusqu'à 2012 comprise sont concernées
Si vous avez exécuté la méthode d'installation "Serveur: Version Internet", vous ne trouverez
pas le fichier openssl.exe sur le WebServer. Ce dernier se trouve dans ce cas sur l'AppServer
dans le répertoire ..\abac\df_win64.
Déroulement
1. Ouvrez la console DOS -> bouton "Démarrage" -> Exécuter -> CMD
2. Passez dans le répertoire ..\abac\df_win64 avec la commande cd abac\df_win64 et indiquez
la commande suivante:
Commande
openssl req -config openssl.cnf -new -newkey rsa:2048 –nodes –sha256
 Vous pouvez ignorer l'avertissement: "can’t open config file: /usr/local/ssl/openssl.cnf".
Page 21
Certificats SSL
6
3.
Indiquez ici le code du pays CH et confirmez avec [ENTER]
4.
Le nom de votre canton vous est demandé. Vous pouvez donc saisir le canton, par ex. St.
Gall et confirmez avec [ENTER]
5.
Indiquez votre lieu sous "Locality Name", par ex. Wittenbach et confirmez avec [ENTER]
6.
Saisissez le nom de votre entreprise (selon registre du commerce ou Zefix) sous "Organization Name", par ex. ABACUS Research AG et confirmez avec [ENTER]
7.
Vous pouvez laisser vide "Organizational Unit Name" et continuer avec [ENTER]
8.
"Common Name" est l'information importante. Indiquez ici l'URL exacte (sans https) à partir
de laquelle votre WebServer est accessible. Exemple: abaweb.abacus.ch.
9.
L'adresse e-mail est facultative.
10. L'attribut "a challenge password" doit rester vide
11. "An optional company name" peut également être laissé vide
Attention
N'activez aucun mot de passe et n'utilisez pas de trémas.
12. Dès que vous appuyez sur [ENTER], vous recevez votre demande de certificat (certificate
request)
13. Marquez toute la demande: cliquez dans la partie avec la touche droite de la souris et
choisissez Mark (marquer). Sélectionnez la partie en continuant d'appuyer sur la touche de
la souris. Lorsque le texte à copier est marqué, confirmez avec [ENTER]. Le texte marqué
est automatiquement copié dans le presse-papiers.
14. Créez un fichier texte avec le nom Demande SSL.txt et insérez le texte du presse-papiers
dans ce fichier. Afin de pouvoir accéder ultérieurement à ces informations, enregistrez ce
fichier sur le WebServer ou AppServer.
Page 22
Certificats SSL
6
6.3 Solliciter un certificat
Recherchez maintenant dans Internet une CA (Certification Authority) pour solliciter votre certificat SSL. ABACUS vous recommande le "SSL Silver Certificate" de l'entreprise SwissSign.
Vous accédez à la commande par ce lien:
http://www.swisssign.com/component/virtuemart/?category_id=11&page=shop.browse
Attention
Vous devez pouvoir télécharger le certificat au format *.pem avec la chaîne complète de
certification de votre CA.
Si vous avez reçu le certificat SSL avec l'extension de fichier *.cer, *.PKCS#7, *.PKCS#12,
vous devez d'abord le convertir au format .pem. Sinon, le service ABACUS "AbaSiouxSecure" ne pourra pas démarrer. La conversion peut se faire facilement avec le SSL-Converter
de SSLShopper. Vous le trouverez ici.
6.4 Implémentation d'un certificat SSL
Dès que vous avez confirmé la commande openssl req -config openssl.cnf -new -newkey
rsa:2048 –nodes avec [ENTER], un fichier nommé privkey.pem est généré. Il s'agit de la clé
privée du certificat publique que vous a fait parvenir votre CA.
Attention
Cette clé privée ne doit pas tomber entre de mauvaises mains, sinon la connexion cryptée
peut être déchiffrée / espionnée.
Le fichier privkey.pem se trouve toujours dans le répertoire dans lequel vous avez exécuté la
commande "openssl" . Dans notre exemple, il s'agit du répertoire ...\abac\df_win64.
Déroulement
1. Déplacez maintenant ce fichier du répertoire ..\abac\df_win64 vers le répertoire
..\abac\kd\cert\private\ et renommez-le par abasioux.key.
2. Copiez ensuite le fichier de votre CA dans le répertoire ..\abac\kd\cert\private et renommezle par abasioux.crt.
3. Stoppez et démarrez les services "AbaSioux" et "AbaSiouxSecure" sur le WebServer.
Page 23
Certificats SSL
6
6.5 Certificats intermédiaires
6.5.1 Qu’est-ce qu'un certificat intermédiaire
Certains certificats ne sont pas directement créés sous un certificat racine mais sous un certificat intermédiaire qui se trouve ensuite entre le certificat serveur et le certificat racine. Il peut
même y avoir plusieurs certificats intermédiaires. 1
(!) Dans ce cas, votre certificat SSL n'est pas créé directement par les autorités de certification
(CA) mais indirectement via un poste intermédiaire, ce qui renforce la sécurité du certificat racine (certificat root).2
Avec les certificats intermédiaires, un chemin de certification est ainsi généré. Au début se
trouve le certificat racine et à la fin le certificat demandé. Ce chemin doit être représenté par
l'installation unique des certificats intermédiaires sur le serveur. En ouvrant un site Web sécurisé, le serveur transmet tous les certificats nécessaires au navigateur Internet afin de pouvoir
représenter et vérifier le chemin complet. Le certificat de l'utilisateur est ainsi reconnu et accep1
té par le navigateur sans confirmation supplémentaire et installation manuelle de certificats.
Exemple
 Certificat racine (root)
 Certificat intermédiaire
 Certificat serveur
Attention
Si vous avez téléchargé votre certificat SSL sans la chaîne complète de certification, vous
devriez installer ultérieurement le certificat intermédiaire manquant sur le WebServer pour
que l'utilisateur SaaS (s'il n'a pas le certificat intermédiaire dans son navigateur Internet) ne
reçoive pas un message d'erreur SSL.
1
2
Online im Internet: http://kb.psw.net/questions/13/ [Zugriff am 27-2-2014]
Online im Internet: https://edv-froehlich.de/products/ssl/faq [Zugriff am 27-2-2014]
Page 24
Certificats SSL
6
6.5.2 Contrôle de la chaîne de certification
Ouvrez le fichier certificat SSL téléchargé dans le Notepad. Si vous ne voyez qu'une partie de ----BEGIN CERTIFICATE----- à -----END CERTIFICATE-----, cela signifie que vous n'avez que le
certificat serveur et qu'il vous manque le certificat intermédiaire nécessaire.
Exemple
Vous pouvez également vérifier votre certificat SSL avec un "SSL-Checker". Vous trouverez un
SSL-Checker ici.
Exemple
1. Indiquez votre URL qui correspond au certificat SSL et cliquez sur "Check Server".
Page 25
Certificats SSL
6
2. Vous obtenez le résultat suivant si le certificat SSL dispose de la chaîne complète de
certification:

Vous obtenez le résultat suivant si le certificat SSL ne dispose pas de la chaîne complète
de certification:
Page 26
Certificats SSL
6
6.5.3 Implémentation d'un certificat intermédiaire
Il existe deux procédures différentes pour implémenter un certificat intermédiaire. Celui-ci doit
d'abord être en votre possession. Il devrait être mis à votre disposition par l'éditeur chez qui
vous avez commandé le certificat SSL.
Variante 1:
Le certificat intermédiaire peut également être ouvert avec le Notepad. Ouvrez également votre
certificat serveur avec le Notepad.
Copiez maintenant le contenu du certificat intermédiaire ouvert dans le Notepad et insérez-le
dans le certificat serveur après -----END CERTIFICATE-----. Vous pouvez utiliser le même principe pour ajouter le certificat racine et d'autres certificats intermédiaires au certificat serveur.
L'important est que la première partie concerne toujours le certificat serveur.
Exemple
Stoppez et démarrez ensuite le service "AbaSiouxSecure" et exécutez à nouveau le SSL-Check
à l'aide du SSL-Checker. Si vous avez implémenté le bon certificat intermédiaire, vous ne devriez plus recevoir de message d'erreur.
Page 27
Certificats SSL
6
Variante 2:
Copiez le certificat intermédiaire comme un seul fichier .pem dans le répertoire
..\abac\kd\cert\trusted. Afin que le WebServer sache maintenant qu'il a un certificat intermédiaire supplémentaire, celui-ci doit encore être indiqué dans le fichier abatomahawk.set dans le
répertoire ..\abac\sioux\plugins.
Exemple
Attention
Lors d'une mise à jour, il est possible que ce fichier abatomahawk.set soit remplacé et qu'il
soit nécessaire d'ajouter à nouveau cette entrée.
Indication
Les certificats suivants sont installés par défaut dans le répertoire ..\abac\kd\cert\trusted:
Page 28
Mise à jour du WebServer
7
7 Mise à jour du WebServer
Les servicepacks doivent être installés manuellement car il n'y a pas de LiveUpdate installée
sur le WebServer. Les derniers servicepacks des versions ABACUS supportées se trouvent ici.
Déroulement
 Veuillez tenir compte de la liste de contrôle à la page suivante.
Ce qui doit être pris en compte
Les deux fichiers index.html et abatomahawk.set seront remplacés lors de la mise à jour du
WebServer:
- index.html dans le répertoire ..\abac\http_root
- abatomahawk.set dans le répertoire ..\abac\kd\cert\trusted
Si vous avez modifié le fichier index.html, par ex. supprimé le lien "Démarrer AbaMenu" ou
ajouté votre propre logo, récupérez l'ancien fichier index.html de votre sauvegarde.
Attention
Si vous mettez à jour une version ABACUS entièrement nouvelle (par ex. 2011 à 2012), ne
remplacez pas le fichier index.html car nous avons modifié la procédure de login et donc les
liens dans le fichier index.html de la version ABACUS 2011 à la version 2012. Si vous avez
déjà une version ABACUS 2012, vous pouvez ignorer cette remarque.
Si la modification du fichier index.html est une surcharge de travail, contactez le support
AbaWeb pour que ces travaux puissent être effectués de manière ciblée sur votre fichier
index.html.
Si vous avez utilisé la variante 2 (voir chapitre 6.5.3 à la page 27), les enregistrements (en fonction du servicepack) peuvent ne plus se trouver dans le fichier abatomahawk.set sur le WebServer ou le fichier a été remplacé. Dans ce cas, vous devez actualiser les enregistrements
dans le nouveau fichier abatomahawk.set créé (voir exemple à la page 27).
Attention
Ne remplacez pas tout le fichier abatomahawk.set par celui de votre sauvegarde car sinon
les éventuelles nouveautés se trouvant dans le fichier abatomahawk.set seront perdues.
Page 29
Mise à jour du WebServer
7
7.1 Liste de contrôle

Sauvegarder le répertoire ..\abac

Télécharger la dernière mise à jour ABACUS

Installer le hotfix / servicepack

Contrôler et modifier éventuellement le fichier index.html

Contrôler et modifier éventuellement le fichier abatomahawk.set
s'il existe des certificats intermédiaires dans le répertoire ..\abac\kd\cert\trusted
en plus des certificats intermédiaires déjà installés de manière fixe.

Stopper et redémarrer les services ABACUS "AbaSioux" et "AbaSiouxSecure"
si des modifications ont été effectuées dans le fichier abatomahawk.set:

Contrôler si la version ABACUS du portail AbaSky correspond, au cas où l'année de la
version ait changé (par ex. mise à jour de la version 2012 à la version 2013).

Contrôler la connexion entre le WebServer et l'AppServer -> login dans ABACUS via le
WebServer
Page 30

certificate authority software

Transcription

Documents pareils

certificat de réussite

Liste des documents à soumettre pour la demande de reconnaissance

procedure pour l`obtention d`un certificat de non gage

CERTIFICAT D`ETUDES DES 50 ANS DU FCL XI !!! A l

ECOLE SAINT-HONORE D`EYLAU

Messagerie académique sur Smartphone Android

ABACUS BUSINESS SOFTWARE La solution Enterprise

Certificat de conformité aux normes de surfaces et d`habitabilité

CERTIFICAT

TP-IIS Certificats

Guide d`installation et FAQ