Activation de HTTPS sur les serveurs Linux

Cette procédure indique les étapes à suivre pour activer HTTPS sous Red Hat Enterprise Linux. Il est possible que les autres distributions de Linux présentent des différences mineures.
Pour activer HTTPS, vous avez besoin d'un certificat numérique. Vous pouvez utiliser un certificat signé par une autorité de certification (CA) ou un certificat auto-signé.
    Important:
  • Cette procédure fait appel à la commande Java keytool. Pour plus d'informations sur l'utilisation de la commande keytool, consultez la documentation Java ou la documentation fournie par l'autorité de certification.
  • Enregistrez des copies des fichiers suivants à un emplacement sûr pour pouvoir les restaurer ultérieurement en cas de besoin :
    • /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    • /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    • /opt/RICOH/DataCollector/config.json
  1. Obtenez le certificat numérique et stockez-le sur l'ordinateur où RICOH Supervisor Data Collector est installé.
    • Pour utiliser un certificat signé par une autorité de certification :
      1. Suivez les instructions fournies par l'autorité de certification pour obtenir un certificat signé et pour l'importer dans un fichier de magasin de clés (keystore).
      2. Copiez le fichier keystore sur l'ordinateur où RICOH Supervisor Data Collector est installé. Assurez-vous de connaître le mot de passe pour le fichier keystore.
      3. Ouvrez une fenêtre de terminal en tant qu'utilisateur root (superutilisateur).
      4. Accédez au dossier contenant la commande Java keytool : 
        cd /opt/RICOH/DataCollector/jre/bin
      5. Importez le fichier keystore dans le magasin de certificats approuvé Java utilisé par RICOH Supervisor Data Collector : 
        keytool -importkeystore -srckeystore "keystore_path" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Remplacez keystore_path par le chemin d'accès à votre fichier keystore. Laissez les guillemets.

        Remplacez keystore_password par le mot de passe de votre fichier keystore.

    • Pour créer un certificat auto-signé :
      1. Sur l'ordinateur où RICOH Supervisor Data Collector est installé, ouvrez une fenêtre de terminal en tant qu'utilisateur root (superutilisateur).
      2. Accédez au dossier contenant la commande Java keytool : 
        cd /opt/RICOH/DataCollector/jre/bin
      3. Générez un fichier keystore local et un certificat auto-signé : 
        keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Remplacez keystore_password par le mot de passe que vous souhaitez définir pour le fichier keystore.

        Remplacez certificate_validity par le nombre de jours de validité du certificat. Par exemple, saisissez 90 pour 90 jours.

      4. Importez le fichier keystore généré dans le magasin de certificats approuvé Java utilisé par RICOH Supervisor Data Collector : 
        keytool -importkeystore -srckeystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Remplacez keystore_password par le mot de passe que vous avez défini pour le fichier keystore.

  2. Arrêtez le service RICOH Supervisor Data Collector :
    sudo systemctl stop RicohSupervisorDataCollector
  3. Activez HTTPS :
    1. Accédez à /opt/RICOH/DataCollector/apache-tomcat/conf et modifiez le fichier server.xml en tant qu'utilisateur root (superutilisateur) :
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    2. Recherchez ce code :
      <!--
<Connector executor="tomcatThreadPool"
 	port="19280"  URIEncoding="UTF-8" protocol="HTTP/1.1"
	connectionTimeout="20000"
 	redirectPort="8443" />
-->
    3. Insérez ce code au dessous :
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
	port="8443" maxThreads="200" scheme="https" secure="true" 
	SSLEnabled="true" keystoreFile="keystore_path"
	keystorePass="keystore_password" clientAuth="false" 
	sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
    4. Remplacez keystore_path par le chemin d'accès à votre fichier keystore. Laissez les guillemets.
      Si vous avez généré un certificat auto-signé, utilisez "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks".
    5. Remplacez keystore_password par le mot de passe de votre fichier keystore. Laissez les guillemets.
    6. Enregistrez et fermez le fichier.
  4. Renvoyez les requêtes HTTP vers HTTPS :
    1. Accédez à /opt/RICOH/DataCollector/apache-tomcat/conf et modifiez le fichier web.xml en tant qu'utilisateur root (superutilisateur) :
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    2. Accédez à la dernière ligne du fichier, </web-app>.
    3. Insérez ce code juste avant la dernière ligne :
      <security-constraint>
	<web-resource-collection>
		<web-resource-name>Entire Application</web-resource-name>
		<url-pattern>/*</url-pattern>
	</web-resource-collection>
	<!-- auth-constraint goes here if you require authentication -->
	<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
	</user-data-constraint>
</security-constraint>
    4. Enregistrez et fermez le fichier.
  5. Changez l'adresse du serveur interne :
    1. Accédez à /opt/RICOH/DataCollector et modifiez le fichier config.json en tant qu'utilisateur root (superutilisateur) :
      sudo gedit /opt/RICOH/DataCollector/config.json
    2. Remplacez la ligne "webAddress": "http://localhost:19280", par "webAddress": "https://localhost:8443",.
    3. Enregistrez et fermez le fichier.
  6. Démarrez le service RICOH Supervisor Data Collector :
    sudo systemctl start RicohSupervisorDataCollector
  7. Assurez-vous que les requêtes transitent par la connexion sécurisée :
    1. Ouvrez une fenêtre de navigateur Web prise en charge.
    2. Entrez cette URL dans la barre d'adresse :

      http://adresse_serveur:numéro_port/DataCollector

      adresse_serveur est le nom d'hôte ou l'adresse IP de l'ordinateur sur lequel RICOH Supervisor Data Collector est installé et numéro_port est le port de serveur Web.

      Lorsque la page se charge, l'adresse doit devenir https://adresse_serveur:numéro_port/DataCollector.

Lorsque les utilisateurs accèdent au système, ils sont redirigés vers le protocole sécurisé sans aucune manipulation de leur part. Toutefois, si vous utilisez un certificat autosigné ou si le certificat n'est pas lié spécifiquement au serveur, le navigateur Web émet un message d'avertissement indiquant que le certificat n'est pas digne de confiance.

Veillez à répéter la procédure d'activation de HTTPS chaque fois que le certificat est sur le point d'expirer. Vous devez également recommencer cette procédure chaque fois que vous exécutez le processus d'installation en vue de réinstaller, mettre à niveau ou réparer RICOH Supervisor Data Collector.

Après avoir réparé RICOH Supervisor Data Collector, si vous ne souhaitez plus activer HTTPS, vous devez rétablir l'adresse du serveur interne HTTP :

  1. Accédez à /opt/RICOH/DataCollector et modifiez le fichier config.json en tant qu'utilisateur root (superutilisateur) : 
    sudo gedit /opt/RICOH/DataCollector/config.json
  2. Remplacez la ligne "webAddress": "https://localhost:8443", par "webAddress": "http://localhost:19280",.
  3. Enregistrez et fermez le fichier.
  4. Redémarrez le service RICOH Supervisor Data Collector.

Rubrique parente : Activation de HTTPS pour RICOH Supervisor Data Collector