Accéder au contenu principal

Gestion des clés et des certificats

Qlik NPrinting utilise une méthode de chiffrement qui nécessite un fichier de certificat X.509 au format PEM. Vous pouvez générer un certificat auto-signé ou en obtenir un signé de la part d'une autorité de certification. Un certificat unique couvre à la fois NewsStand et Qlik NPrinting web console, car tous deux ont le même nom de domaine.

Génération d'un certificat auto-signé

Un certificat auto-signé est un certificat d'identité qui est signé par l'entité qui en est le propriétaire. Cette entité fait appel à sa propre clé privée pour certifier son identité. Le recours à un certificat auto-signé vous permet de signer vous-même votre certificat.

L'utilisation d'un certificat auto-signé est possible dans les cas suivants :

  • Vous projetez d'utiliser le protocole HTTPS (HTTP over TLS) pour sécuriser vos serveurs Web.
  • Vos certificats ne doivent pas obligatoirement être signés par une autorité de certification.

Par exemple, vous pouvez utiliser un certificat auto-signé si vos serveurs Web ne sont utilisés que dans votre réseau local.

Procédez comme suit :

  1. Ouvrez une invite de ligne de commande Windows.
  2. Accédez au dossier binaire OpenSSL. La commande par défaut est cd C:\OpenSSL-Win64\bin. Les fichiers seront créés dans ce dossier. Déplacez-les ensuite dans le dossier final.
  3. Pour créer le certificat auto-signé, exécutez la commande suivante :
    openssl req -newkey rsa:4096 -nodes -keyout NPrinting.key -x509 -days 365 -out NPrinting.crt

    Où :

    • req désigne l'utilitaire de demande et de génération de certificats PKCS#10.
    • L'option -x509 indique à req de créer un certificat auto-signé.
    • L'option -days 365 spécifie que le certificat sera valide pendant 365 jours.

    Pour ignorer les questions interactives, utilisez l'option -subj suivie des informations de domaine placées entre guillemets.

    Par exemple :

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Avertissement: La clé privée ne doit être divulguée à personne, ni envoyée à l'autorité de certification. Sauvegardez-la et conservez-la en lieu sûr.

Vous pouvez distribuer uniquement le fichier de clé privée.

Acquisition d'un certificat auprès d'une autorité de certification

Si vous devez éviter les avertissements de sécurité dans le cas où votre serveur Web est accessible sur un réseau Internet public via des navigateurs Web, vos certificats doivent être signés par une autorité de certification. Il existe un grand nombre d'autorités de certification. Chacun d'elles dispose de ses propres instructions à suivre. Certaines étapes relatives à la génération et à l'implémentation de certificats signés délivrés par une autorité de certification sont communes à l'ensemble de ses entités. Les sections suivantes présentent ces étapes communes.

Génération d'une demande de signature de certificat

Pour obtenir un certificat signé par une autorité de certification, vous devez générer une demande de signature de certificat (CSR, certificate signing request). Une demande CSR contient votre clé publique et des informations supplémentaires. Ces informations seront incluses dans le certificat signé. Une demande de signature de certificat ne contient jamais la clé privée.

Procédez comme suit :

  1. Pour générer la demande CSR et la clé privée, exécutez la commande suivante :

    openssl req -new -newkey rsa:4096 -nodes -keyout NPrinting.key -out NPrinting.csr

  2. Vous êtes alors invité à répondre à des questions interactives.
    Pour ignorer les questions interactives, utilisez l'option -subj suivie des informations de domaine placées entre guillemets.

    Par exemple :

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Concernant toute procédure personnalisée de création de demande CSR, consultez les instructions de l'autorité de certification appropriée.

Champ du nom commun

Le nom indiqué dans le champ du nom commun (CN, Common Name) doit correspondre exactement au nom de domaine complet (FQDN, Fully Qualified Domain Name) de l'hôte qui utilisera le certificat.

Par exemple :

  • Si l'URL de NewsStand est https://votreentreprise.com:4994, le nom de domaine complet est votreentreprise.com (le port n'en fait pas partie).
  • L'URL https://www.votreentreprise.com:4994 est considérée comme différente de https://votreentreprise.com:4994. Si vous souhaitez que les deux adresses URL soient interprétées comme des noms d'hôte valides, vous devez générer deux certificats, un contenant le nom de domaine complet www.votreentreprise.com et l'autre spécifiant le nom de domaine complet votreentreprise.com.

Fusion de certificats signés avec des certificats de serveur

Lorsque vous utilisez un certificat signé par une autorité de certification, vous devez créer un groupe de fichiers de certificat PEM qui contient le certificat de serveur, d'éventuels certificats intermédiaires et le certificat signé par l'autorité de certification. Une fois que vous avez créé le groupe de certificats, utilisez-le de pair avec votre clé privée afin de configurer le proxy. Vous devez fournir les fichiers contenant un certificat et la clé privée correspondante du serveur.

Procédez comme suit :

  1. Pour créer un fichier de groupe de certificats, concaténez le certificat signé par l'autorité de certification de votre domaine, le certificat de serveur et les éventuels certificats intermédiaires. Tous les certificats, y compris le certificat racine, doivent être inclus dans la concaténation.
  2. Veillez à respecter l'ordre de concaténation suivant :

    • Certificat du domaine
    • Certificats intermédiaires (un ou plusieurs)
    • Certificat racine

    Par exemple :

    more < NPrinting.crt >> NPrinting.public.crt
    more < RSADomainValidationSecureServerCA.crt >> NPrinting.public.crt
    more < RSAAddTrustCA.crt >> NPrinting.public.crt
    more < AddTrustExternalCARoot.crt >> NPrinting.public.crt

    Où :

    • NPrinting.crt correspond au certificat du domaine.
    • NPrinting.public.crt désigne le groupe de certificats qui servira à configurer le proxy.
    • RSADomainValidationSecureServerCA.crt et RSAAddTrustCA.crt sont des certificats intermédiaires.
    • AddTrustExternalCARoot.crt est le certificat racine.
  3. Pour configurer le proxy, utilisez NPrinting.public.crt comme fichier de certificat, ainsi que la clé privée.