Sommaire
Afin de sécuriser votre Constellation, il est recommandé d’utiliser un cryptage SSL pour les communications avec votre serveur Constellation.
Vous pouvez soit exposer votre serveur Constellation derrière un reverse-proxy IIS, ngnix, Apache ou autre sur lequel vous activerez le cryptage SSL ou soit exposer Constellation directement en SSL.
Pour cette dernière option voici la procédure compatible seulement sur un serveur Windows. Si votre serveur Constellation est sous Linux, vous devez mettre en place un reverse proxy (avec IIS sur Windows ou ngnix sur Linux) devant votre serveur Constellation.
Etape 1 : créer un certificat SSL
La première étape consiste à créer un certificat SSL portant le nom de l’URI de votre Constellation (par exemple constellation.mondomaine.com).
Plusieurs options :
- Créer un certificat auto-signé
- Créer un certificat privé avec votre propre autorité de certification
- Créer/acheter un certificat à une autorité de certification reconnue
Dans le premier cas, il faudra installer ce certificat sur chaque poste client sous peine d’avoir des avertissements de sécurité.
Vous pouvez créer des certificats auto-signés depuis la console IIS, Powershell ou en ligne de commande avec l’utilitaire “makecert” sur Windows par exemple. Il existe également des générateurs de certificats auto-signés en ligne.
Si vous avez un domaine Active Directory avec une autorité de certification (ADCS) vous pouvez générer des certificats SSL depuis la console IIS (voir ici). Il faudra que chaque client de votre Constellation ait le certificat publique de votre autorité de certification (AC) pour fonctionner.
Autrement pour éviter ce type de prérequis, vous devez générer un certificat SSL signé par une véritable autorité de certification tel que GlobalSign, GeoTrust, Gandi, etc. Chez StartCom ou WoSign, les certificats SSL sont gratuits. Chez Gandi, vous avez la première année offerte pour chaque domaine que vous commandez chez eux.
Pour finir il est aussi possible d’utiliser Let’s Encrypt pour générer gratuitement et à la demande des certificats SSL. Il est recommandé d’utiliser ce type de certificat avec un reverse proxy pour simplifier le déploiement et le renouvellement. Consultez avec article exposer Constellation en SSL avec des certificats Let’s Encrypt et Nginx.
Etape 2 : installer le certificat
Sous Windows, vous devez ouvrir la MMC de gestion des certificats pour installer le certificat créé à l’étape 1.
Vous pouvez par exemple suivre ces guides :
- https://fr.godaddy.com/help/iis-8-install-a-certificate-4951
- https://www.startssl.com/Support?v=31 (étape 9 à 12).
Etape 3 : lier le certificat à un port TCP
Lorsque vous installer votre certificat dans la MMC lors de l’étape précédente, copiez l’empreinte (thumbprint) visible dans les propriétés de votre certificat.
Puis dans une invite de commande, entrez la commande suivante :
|
1 |
netsh http add sslcert ipport=0.0.0.0:XXX appid={12345678-db90-4b66-8b01-88f7af2e36bf} certhash=yyy |
Vous devez remplacer “XXX” par le port TCP que vous souhaitez utiliser pour exposer Constellation en SSL et “YYY” par le thumbprint de votre certificat SSL.
Etape 4 : configurer Constellation
Pour finir éditez le fichier de configuration Constellation (Constellation.Server.exe.config) et ajoutez une “listenUri” sur le port défini dans l’étape précédente.
Par exemple, configurons Constellation pour écouter en HTTP sur le port par défaut 8088 et en HTTPS (SSL) sur le port 8089 :
|
1 2 3 4 |
<listenUris> <uri listenUri="http://+:8088/" /> <uri listenUri="https://+:8089/" /> </listenUris> |
Démarrez la discussion sur le forum Constellation