Activation de l'Authentification SSL Mutuelle

Qu'est-ce que l'Authentification Mutuelle ?


De nombreuses personnes attendent une sécurité supplémentaire et l'Authentification Mutuelle est déjà prise en charge dans TS2log. Elle est généralement mise en œuvre par des banques ou des organismes gouvernementaux.
Pour comprendre ce que c'est, nous pouvons la comparer à un processus SSL standard où vous ajouteriez une vérification supplémentaire pour vérifier si le navigateur Web de l'utilisateur autorise la connexion SSL. Vous savez ce qu'est votre certificat SSL côté serveur. Imaginez que le certificat est importé dans le navigateur Web pour vous assurer que ce navigateur Web spécifique est sécurisé pour créer une connexion. Dans la première étape de la communication, le navigateur Web agit en tant que client et, dans un deuxième temps, c'est l'inverse. À la fin, les deux côtés, le navigateur Web client et le serveur Web, ont accepté l’autorité et la connexion peut commencer.

Une définition plus complète : l'Authentification Mutuelle SSL ou l'Authentification Mutuelle par Certificat fait référence à deux parties qui s'authentifient en vérifiant le certificat numérique fourni, de sorte que les deux parties soient assurées de l'identité de l'autre. En termes technologiques, il s'agit d'un client (navigateur Web ou application client) s'authentifiant auprès d'un serveur (site Web ou serveur d'applications) et s'authentifiant lui-même auprès du client en vérifiant le certificat de clé publique / certificat numérique émis par les Autorités de Cerification(CA) digne de confiance. Étant donné que l'authentification repose sur des certificats numériques, les Autorités de Certification telles que Verisign ou Microsoft Certificate Server constituent une partie importante du processus d'Authentification Mutuelle.

Activation sur TS2log

Le serveur Web intégré à TS2log permet de configurer une Authentification Mutuelle.


Pour activer l'Authentification Mutuelle, procédez comme suit :

Vous devrez installer le dernier kit de développement Java (JDK), disponible sur http://java.com> Téléchargements> JDK.

1. Créez et éditez avec Notepad le fichier suivant :
C: \ Program Files (x86) \ TS2log \ Clients \ serveur Web \ settings.bin

Ajoutez ces 3 lignes:

disable_http_only = true
disable_print_polling = true
force_mutual_auth_on_https = true

2. Supprimer cert.jks

Dans "C: \ Program Files (x86) \ TS2log \ Clients \ webserver", vous verrez le fichier cert.jks
Copiez-le dans "C: \ Program Files (x86) \ TS2log \ Clients \"
Supprimer "C: \ Program Files (x86) \ TS2log \ Clients \ webserver \ cert.jks"

3. Créez le fichier de commandes

Dans "C: \ Program Files (x86) \ TS2log \ Clients", créez un fichier de commandes, par exemple "createcertuser.bat" avec ces paramètres :

@rem décommentez la ligne suivante, si vous souhaitez générer de nouveaux cert.jks auto-signés
@rem keytool -genkey -v -alias jwts -keyalg RSA -validité 3650 -keystore cert.jks -storepass secret -keypass secret -dname "CN = localhost, OU = my_ou, O = my_org, L = my_city, ST = mon_état, C = MY "
@keytool -genkey -v -alias AliasUser1 -keyalg RSA -storetype PKCS12 -keystore pourBrowserUser1.p12 -dname "CN = nom_application, OU = some_ou, O = some_org, L = Paris,
ST = FR, C = FR "-storepass mypassword
@keytool -export -alias AliasUser1 -keystore forBrowserUser1.p12 -storetype PKCS12 -storepass mypassword -rfc -file forCertUser1.cer
@keytool -alias AliasCertUser2 -import -v -file forCertUser1.cer -keystore cert.jks -storepass secret
@del forCertUser1.cer

Cela importera automatiquement la paire de clés cert du navigateur Web dans "cert.jks" après avoir créé sa paire de clés de navigateur.

4. Restaurer le nouveau créé le "cert.jks" modifié

Copier "C: \ Program Files (x86) \ TS2log \ Clients \ cert.jks" dans
"C: \ Program Files (x86) \ TS2log \ Clients \ webserver" et redémarrez les serveurs Web.

5. Importation et test de certificat

L'exemple de lot fourni doit avoir généré un fichier de test "BrowserUser1.p12".
Lorsque vous ouvrez l'adresse HTTPS, vous recevez un message de sécurité et vous ne pouvez pas accéder aux pages du serveur Web.
Avec Chrome ou IE, vous pouvez cliquer sur ce fichier 'BrowserUser1.p12' pour importer le certificat dans le fichier de clés par défaut de Windows.
Avec FireFox, vous devez aller dans Paramètres et importer ce fichier "BrowserUser1.p12" dans votre dossier de certificats.

Dès que vous l'avez correctement importé, vous pourrez accéder à l'adresse HTTPS.

L'administrateur peut créer un fichier de paire de clés distinctes pour chaque utilisateur.

Par exemple :

forBrowserUser1.p12
pourBrowserUser2.p12
forBrowserUser3.p12

Et il peut exporter ces certificats dans cert.jks.
S'il veut désactiver l'accès à un utilisateur, il lui suffira de supprimer cet utilisateur de "cert.jks".
Ce faisant, l'utilisateur perd son autorisation et ne pourra plus accéder au serveur Web.

Cette authentification mutuelle n'affecte que les connexions HTTPS et la connexion HTTP sera interdite avec la ligne de commande:
settings.bin> disable_http_only = true