Afin de sécuriser votre Constellation, il est recommandé d’utiliser un cryptage SSL pour les communications avec votre serveur Constellation.

Vous pouvez soit exposer votre serveur Constellation derrière un reverse-proxy (Apache, IIS, ngnix, ou autre) sur lequel vous activerez le cryptage SSL ou soit exposer Constellation directement en SSL.

Pour cette dernière option voici la procédure :

Etape 1 : créer un certificat SSL

La première étape consiste à créer un certificat SSL portant le nom de l’URI de votre Constellation (par exemple constellation.mondomaine.com).

Plusieurs options :

  • Créer un certificat auto-signé
  • Créer un certificat privé avec votre propre autorité de certification
  • Créer/acheter un certificat à une autorité de certification reconnue

Dans le premier cas, il faudra installer ce certificat sur chaque poste client sous peine d’avoir des avertissements de sécurité.

Vous pouvez créer des certificats auto-signés depuis la console IIS, Powershell ou en ligne de commande avec l’utilitaire “makecert” sur Windows par exemple. Il existe également des générateurs de certificats auto-signés en ligne.

Si vous avez un domaine Active Directory avec une autorité de certification (ADCS) vous pouvez générer des certificats SSL depuis la console IIS (voir ici). Il faudra que chaque client de votre Constellation ait le certificat publique de votre autorité de certification (AC) pour fonctionner.

Autrement pour éviter ce type de prérequis, vous devez générer un certificat SSL signé par une véritable autorité de certification tel que GlobalSign, GeoTrust, Gandi, etc. Chez StartCom ou WoSign, les certificats SSL sont gratuits. Chez Gandi, vous avez la première année offerte pour chaque domaine que vous commandez chez eux.

Etape 2 : installer le certificat

Sous Windows, vous devez ouvrir la MMC de gestion des certificats pour installer le certificat créé à l’étape 1.

Vous pouvez par exemple suivre ces guides :

Etape 3 : lier le certificat à un port TCP

Lorsque vous installer votre certificat dans la MMC lors de l’étape précédente, copiez l’empreinte (thumbprint) visible dans les propriétés de votre certificat.

Puis dans une invite de commande, entrez la commande suivante :

Vous devez remplacer “XXX” par le port TCP que vous souhaitez utiliser pour exposer Constellation en SSL et “YYY” par le thumbprint de votre certificat SSL.

Etape 4 : configurer Constellation

Pour finir éditez le fichier de configuration Constellation (Constellation.Server.exe.config) et ajoutez une “listenUri” sur le port défini dans l’étape précédente.

Par exemple, configurons Constellation pour écouter en HTTP sur le port par défaut 8088 et en HTTPS (SSL) sur le port 8089 :

Configuration du serveur Constellation en SSL
Editer la page sur GitHub
Étiqueté avec :                

Démarrez la discussion sur le forum Constellation