Traduction et adaptation de l’article CTX132235 ( http://support.citrix.com/article/CTX132235)
les commandes sont en bleu italique : commande
I – Creation du keystore et du fichier de demande de certificat près d’un CA (fichier Certificate Signing Request (CSR))
1) Se connecter sur Vdi in a box (SSH VDI-in-a-Box ou en console dans Xenserver)
Utilisateur par défaut : kvm / kaviza123
2) Changer le Hostname du serveur
Par défaut celui-ci porte le nom de vdiMgr. Choisir un nom que sera cohérent avec les DNS, le CN du certificat SSL
ex : myvdi.domaine.fr
Ouvrir le fichier de configuration network :
sudo vi /etc/sysconfig/network
Changer le HOSTNAME (HOSTNAME = myvdi.domaine.fr)
Sauvegarder le fichier et quitter vi
(On peut rebooter le serveur)
3) Génération du Keystore, des Key Pair, et du CSR
Si on a rebooté le serveur, Se reconnecter sur Vdi in a box (SSH VDI-in-a-Box ou en console dans Xenserver)
On utilise l’utilitaire Java keytool (doc : http://docs.oracle.com/javase/6/docs/technotes/tools/solaris/keytool.html)
Création du dossier keystore :
mkdir /home/kvm/keystore
cd /home/kvm/keystore
Creation du Java keystore et des clé privées (l’option Alias doit correspondre au HOSTNAME de Vdi in a Box)
keytool –genkey –alias myvdi.domaine.fr –keyalg RSA –keysize 2048 –keystore kmgr.keystore
Saisir un mot de passe et le confirmer (au moins 6 caractères) – password de l’exemple : MonBeauPass15
Remplir le questionnaire et faire “entrer” après chaque ligne
ATTENTION : A la question : What is your first and last name ? La réponse doit être le CN. Avec un nom de host valide !
Dans notre cas : What is your first and last name ? myvdi.domaine.fr
A la fin du formulaire faites Entrer pour utiliser le même password dans l’étape suivante.
(si vous le voulez sinon vous devrez saisir un autre password !)
Utiliser à nouveau l’utilitaire keytool pour générer le fichier CSR dans le répertoire courant ((/home/kvm/keystore) qui aura
comme nom : kmgr.csr. Envoyer le à votre autotité de certification
keytool –certreq –alias myvdi.domaine.fr –file kmgr.csr –keystore kmgr.keystore
Faite ensuite un ls pour vérifier la présence des fichiers kmgr.csr et kmgr.keystore
Utiliser un utilitaire SFTP comme WinSCP or FileZilla pour copier le CSR en local sur votre PC
Une certificat SSL valide peut être obtenu chez de la plupart des autorités de certification.
Chaque CA et chaque certificat aura une chaîne de validation différente.
La plupart fournisse des certificats intermédiaires afin de compléter la chaîne.
Exemple de CA : GoDaddy, GeoTrust, VeriSign, Thawte, DigiCert ou encore Startcom.
II Importer les certificats
Avec un utilitaire SFTP copier les certificats dans le dossier /home/kvm/keystore du serveur Vdi-In-A-Box
On utilise l’utilitaire Java keytool via une connexion ssh ou un accès console
ATTENTION : bien suivre l’ordre d’import (chaine) : root => intermediaire => ssl (public)
Se placer dans le dossier keystore
cd /home/kvm/keystore
1) Pour le certificat racine (fourni par votre CA). le nom du fichier ou l’extention varie en fonction de CA (ici ca.pem)
S’il s’agit d’une nouvelle chaine (nouveau root) le programme vous présente de certificat et vous demande l’autorisation de le “truster”
keytool –import –trustcacerts –alias root –file ca.pem –keystore kmgr.keystore
vous devez valider avec le mot de passe du keystore
2) Pour le certificat intermediaire(fourni par votre CA). le nom du fichier ou l’extention varie en fonction de CA (ici sub.class1.server.ca.pem)
keytool –import –trustcacerts –alias interm –file sub.class1.server.ca.pem –keystore kmgr.keystore
vous devez valider avec le mot de passe du keystore
3) Pour votre certificat ssl (fourni par votre CA suite à votre demande (CSR)). le nom du fichier ou l’extention varie en fonction de CA (ici ssl.crt)
ATTENTION de bien nommer l’alias avec le nom FQDN de votre Vdi-In-A-Box
keytool –import –trustcacerts –alias myvdi.domaine.fr –file ssl.crt –keystore kmgr.keystore
vous devez valider avec le mot de passe du keystore
A chaque fois vous devez avoir la confirmation que l’import c’est bien passé.
4) remplacer le certificat auto signé par le votre
cd /home/kvm/kvm/install/servlet_container/conf
faire une sauvegarde du fichier .keystore
mv .keystore old.keystore
Copier la nouvelle configuration dans le dossier conf
cp /home/kvm/keystore/kmgr.keystore cp /home/kvm/keystore/kmgr.keystore .keystore
Faire un ls -al pour vérifier la présence des fichiers .keystore et old.keystore
5) indiquer à Tomcat le mot de passe du certificat (celui qui était identique au keystore dans l’exemple : MonBeauPass15)
Modifier le fichier server.xml
sudo vi server.xml
localiser la section clientAuth et en fin de ligne (ou dessous) ajouter le paramètre :
keystorePass=”MonBeauPass15” ou password est le mot passe de votre certificat ssl
ATTENTION de ne pas effacer la fin de ligne (section) => />
clientAuth=”false” sslProtocol=”TLS” URIEncoding=”UTF-8″
keystorePass=”MonBeauPass15”/>
Enregistrer et fermer vi
Redemmarer tomcat
tc_start
Puis tester depuis votre navigateur en pointant avec le fqdn du Vdi-In-A-Box (pas l’IP).
Vous ne devez plus avoir d’alerte sur le certificat (vous pouvez l’afficher pour être sûr pour vérifier la chaine le nom….!)