- 19 Mar 2024
- 1 Minute à lire
- Impression
- SombreLumière
- PDF
Créer des certificats TLS
- Mis à jour le 19 Mar 2024
- 1 Minute à lire
- Impression
- SombreLumière
- PDF
Pour des raisons de sécurité, il est fortement conseillé pour toutes les intégrations de sécuriser la communication en utilisant TLS. Cela garantira que toutes les transmissions de données importantes seront cryptées et empêchera les fuites de données potentielles et d’autres vulnérabilités. Vous trouverez ci-dessous des instructions sur la façon de créer un certificat TLS valide et compatible avec le système Reconeyez.
Vérification du nom de l’objet
La RFC 2818, publiée en mai 2000, déconseille l’utilisation du champ Common Name (CN) dans les certificats TLS pour la vérification du nom de l’objet. La version 1.13 du module d’intégration Reconeyez utilise un client TLS qui a finalisé cette dépréciation. Les certificats TLS sans la section SAN (Subject Alternative Name) ne peuvent plus être utilisés à des fins de vérification.
Les clients qui utilisent déjà TLS, mais qui n’utilisent pas de SAN, doivent mettre à jour leurs certificats pour se conformer aux nouvelles exigences. Plus important encore, les clients doivent ajouter les DNS et/ou les adresses IP externes au champ SAN (Subject Alternative Names) du certificat.
Certificats auto-signés
Pour créer un certificat TLS auto-signé avec des SAN IP, vous pouvez par exemple suivre ce guide : https://medium.com/@antelle/how-to-generate-a-self-signed-ssl-certificate-for-an-ip-address-f0dd8dddf754
Le client doit avertir le support Reconeyez lorsque le certificat est créé et appliqué au serveur. Cela est dû au fait que le certificat est auto-signé et que, pour pouvoir vérifier l’émetteur, le support Reconeyez doit également ajouter ce certificat au pool d’autorités de certification racine sur le serveur Reconeyez correspondant. Notez que lorsque ce certificat expire et qu’un nouveau certificat est créé, le support Reconeyez doit également le mettre à jour dans le pool d’autorités de certification racine du serveur.
Chaîne de certificats
Pour éviter cela, le client peut créer son propre certificat d’autorité de certification racine et sa propre chaîne de certificats (https://www.golinuxcloud.com/openssl-create-certificate-chain-linux/) qu’il fournit ensuite au support Reconeyez pour l’ajouter à notre pool d’autorités de certification racine. Cela signifierait qu’il aurait moins de charge d’entretien pour l’avenir.