Vous pouvez soit exposer votre serveur Constellation derrière un reverse-proxy IIS, ngnix, Apache ou autre sur lequel vous activerez le cryptage SSL ou soit exposer Constellation directement en SSL.

Pour cette dernière option voici la procédure compatible seulement sur un serveur Windows. Si votre serveur Constellation est sous Linux, vous devez mettre en place un reverse proxy (avec IIS sur Windows ou ngnix sur Linux) devant votre serveur Constellation.

Etape 1 : créer un certificat SSL

La première étape consiste à créer un certificat SSL portant le nom de l’URI de votre Constellation (par exemple constellation.mondomaine.com).

Plusieurs options :

• Créer un certificat auto-signé
• Créer un certificat privé avec votre propre autorité de certification
• Créer/acheter un certificat à une autorité de certification reconnue

Dans le premier cas, il faudra installer ce certificat sur chaque poste client sous peine d’avoir des avertissements de sécurité.

Vous pouvez créer des certificats auto-signés depuis la console IIS, Powershell ou en ligne de commande avec l’utilitaire “makecert” sur Windows par exemple. Il existe également des générateurs de certificats auto-signés en ligne.

Si vous avez un domaine Active Directory avec une autorité de certification (ADCS) vous pouvez générer des certificats SSL depuis la console IIS (voir ici). Il faudra que chaque client de votre Constellation ait le certificat publique de votre autorité de certification (AC) pour fonctionner.

Autrement pour éviter ce type de prérequis, vous devez générer un certificat SSL signé par une véritable autorité de certification tel que GlobalSign, GeoTrust, Gandi, etc. Chez StartCom ou WoSign, les certificats SSL sont gratuits. Chez Gandi, vous avez la première année offerte pour chaque domaine que vous commandez chez eux.

Pour finir il est aussi possible d’utiliser Let’s Encrypt pour générer gratuitement et à la demande des certificats SSL. Il est recommandé d’utiliser ce type de certificat avec un reverse proxy pour simplifier le déploiement et le renouvellement. Consultez avec article exposer Constellation en SSL avec des certificats Let’s Encrypt et Nginx.

Etape 2 : installer le certificat

Sous Windows, vous devez ouvrir la MMC de gestion des certificats pour installer le certificat créé à l’étape 1.

Vous pouvez par exemple suivre ces guides :

• https://fr.godaddy.com/help/iis-8-install-a-certificate-4951
• https://www.startssl.com/Support?v=31 (étape 9 à 12).

Etape 3 : lier le certificat à un port TCP

Lorsque vous installer votre certificat dans la MMC lors de l’étape précédente, copiez l’empreinte (thumbprint) visible dans les propriétés de votre certificat.

Puis dans une invite de commande, entrez la commande suivante :

netsh http add sslcert ipport=0.0.0.0:XXX appid={12345678-db90-4b66-8b01-88f7af2e36bf} certhash=yyy

Vous devez remplacer “XXX” par le port TCP que vous souhaitez utiliser pour exposer Constellation en SSL et “YYY” par le thumbprint de votre certificat SSL.

Etape 4 : configurer Constellation

Pour finir éditez le fichier de configuration Constellation (Constellation.Server.exe.config) et ajoutez une “listenUri” sur le port défini dans l’étape précédente.

Par exemple, configurons Constellation pour écouter en HTTP sur le port par défaut 8088 et en HTTPS (SSL) sur le port 8089 :

<listenUris>
  <uri listenUri="http://+:8088/" />
  <uri listenUri="https://+:8089/" />
</listenUris>

The post Configuration du serveur Constellation en SSL appeared first on Constellation.

Nous allons voir ici comment configurer un serveur Microsoft IIS en tant que reverse proxy pour Constellation. Vous pouvez également réaliser le reverse proxy avec nginx notamment si vous êtes sur un système Linux.

Etape 1 : installer ARR et URL Rewrite

Pour commencer, en utilisant le “Web Platform Installer”, installez :

• Application Request Routing 3.0
• URL Rewrite 2.0

Etape 2 : créer un site Web IIS

Toujours depuis la Console IIS, créez un site web IIS. Configurez le binding et les autres options de votre choix (port d’écoute, SSL ou non, authentification, restriction d’IP, filtrage, etc..).

C’est ce site Web IIS qui devra être exposé sur Internet et qui sera le point d’entrée vers votre Constellation.

Etape 3 : configurer la règle de reverse proxy

Créez le fichier “web.config” dans le répertoire de votre site Web créé à l’étape précédente avec le contenu suivant :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <clear />
                <rule name="Constellation on my private server" stopProcessing="true">
                    <match url="^constellation/(.*)" />
                    <conditions logicalGrouping="MatchAll" trackAllCaptures="false" />
                    <action type="Rewrite" url="http://myprivateserver.mynetwork.lan:8088/{R:1}" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

Dans cet exemple toutes requêtes qui commence par “constellation/” seront “rewritées” vers le serveur local “myprivateserver.mynetwork.lan:8888”.

Etape 4 : activer le HTTPS

Vous pouvez depuis le gestionnaire IIS ajouter des certificat SSL pour activer le HTTPS sur votre site IIS et donc exposer votre Constellation dans un canal sécurisé.

Pour utiliser des certificats SSL Let’s Encrypt, téléchargez et installez Certify SSL Manager. Vous pourrez alors ajouter un certificat SSL en quelques clics à votre site IIS avec gestion automatique du renouvellement.

The post Exposer Constellation en HTTPS derrière un reverse proxy avec IIS et Let’s Encrypt appeared first on Constellation.