Créer des certificats de sécurité

Bitdefender GravityZone offre une visibilité complète du niveau de sécurité de l'entreprise et des menaces de sécurité globales avec un contrôle des services de sécurité protégeant les postes physiques ou virtuels, les serveurs et les appareils mobiles. Toutes les solutions de sécurité Bitdefender pour entreprises sont administrées dans GravityZone via une seule console, le Control Center, qui fournit des services de contrôle, de reporting et d'alertes pour les entreprises.

Cet article explique comment créer les certificats de sécurité requis par GravityZone.


Introduction

Les navigateurs ont besoin d'un certificat de sécurité de Control Center pour identifier l'url du Control Center comme étant de confiance. À l'exception de Control Center Security, tous les autres certificats sont nécessaires exclusivement pour gérer les appareils iOS Apple. Il s'agit :

  • du certificat du Serveur de communication
  • du certificat Push MDM Apple
  • du certificat Signature Profil et Identité MDM iOS
  • du certificat Chaîne d'approbation de MDM iOS

iOS comprend un support intégré des solutions tierces Mobile Device Management (MDM). Apple Inc. a des exigences très strictes pour que l'interface MDM fonctionne. La sécurité implique l'authentification à la fois du serveur et du client lorsque des commandes MDM sont envoyées à l'appareil. Le serveur MDM fonctionne donc en tant que serveur HTTPS et l'appareil a besoin de faire confiance au certificat que le serveur présente.

Le certificat root

Les certificats numériques sont vérifiés à l'aide d'une chaîne d'approbation. Le certificat root se situe au sommet de l'arborescence et sa clé privée est utilisée pour « signer » d'autres certificats. Tous les certificats se trouvant immédiatement en-dessous du certificat Root héritent de la fiabilité de ce dernier.

Plusieurs méthodes sont possibles pour que les appareils fassent confiance au certificat SSL présenté par le serveur MDM. Nous en présenterons trois mais seules deux permettent un déploiement réaliste et pratique.

  1. Obtenir un certificat SSL d'une source en laquelle l'appareil a déjà confiance.
    Par exemple, obtenez un certificat pour l'IP ou le nom de l'appareil auprès de Verisign, Thawte ou d'une autre autorité de certification. L'appareil fera confiance à ce certificat et la relation d'administration pourra être établie.
    Cette solution est peu pratique pour la plupart des déploiements en entreprise.
  2. L'entreprise possède un certificat root auto-signé.
    Le certificat a besoin d'être importé avant que l'inscription puisse avoir lieu.
    Heureusement, Apple a prévu ce besoin et a permis d'inclure les certificats et la configuration MDM dans la même charge utile. L'inscription s'effectue en deux étapes :
    1. Les certificats de la charge utile sont importés et le certificat Root sera considéré comme étant de confiance.
    2. La connexion au serveur MDM a lieu et l'appareil devient administré.
  3. L'entreprise possède un certificat intermédiaire émis par un important fournisseur tiers.
    Le fournisseur est l'un de ceux mentionnés au point 1, la différence étant que le certificat intermédiaire doit être inclus dans le profil et que la « confiance » commence à partir du certificat Root (en lequel l'appareil a déjà confiance).

Les certificats du produit MDM Bitdefender

Vous trouverez ci-dessous une brève description des certificats pour MDM :

  1. Le certificat du Serveur de communication est utilisé pour protéger les communications entre le serveur de communication et les appareils mobiles iOS.
    Spécifications :
    • Ce certificat SSL peut être signé par votre entreprise ou par une autorité de certification externe.
    • Le nom commun du certificat doit correspondre exactement au nom de domaine ou à l'adresse IP utilisée par les clients mobiles pour se connecter au Serveur de Communication. Cela est configuré en tant qu'adresse MDM externe dans l'interface de configuration de la console de l'appliance GravityZone.
    • Les clients mobiles doivent faire confiance à ce certificat. Pour cela, vous devez également ajouter iOS MDM Trust Chain.
  2. Le certificat MDM Push d'Apple est requis par Apple pour garantir une communication sécurisée entre le Serveur de communication et le Service de Notification Push d'Apple (APN) lors de l'envoi de notifications push. Les notifications push sont utilisées pour demander aux appareils de se connecter au Serveur de communication lorsque de nouvelles tâches ou modifications de politiques sont disponibles.
    Apple délivre ce certificat directement à votre entreprise mais requiert que votre Demande de signature de certificat soit signée par Bitdefender. Le Control Center fournit un assistant pour vous aider à obtenir facilement votre certificat MDM Push d'Apple.
  3. Le certificat de signature des profils et d'identité MDM iOS est utilisé par le serveur de communication pour signer les certificats d'identité et les profils de configuration envoyés aux appareils mobiles.
    Spécifications :
    • Ce doit être un certificat intermédiaire ou un certificat d'entité finale, signé par votre entreprise ou par une autorité de certification externe.
    • Les clients mobiles doivent faire confiance à ce certificat. Pour cela, vous devez également ajouter la Chaîne d'approbation de MDM iOS.
  4. Les certificats de la chaîne d'approbation de MDM iOS sont requis sur les appareils mobiles pour garantir qu'ils font confiance au Certificat du serveur de communication et au certificat de signature du profil et d'identité MDM iOS. Le Serveur de communication envoie ce certificat aux appareils mobiles pendant l'activation.
    La Chaîne d'approbation de MDM iOS doit comprendre tous les certificats intermédiaires y compris le certificat Root de votre entreprise ou le certificat intermédiaire émis par l'autorité de certification externe.
    La chaîne d'approbation est un enchaînement des certificats au format PEM et n'a pas de clé privée.

La procédure pas à pas

Il s'agit d'une approche simple, adaptée à des tests ou à un déploiement qui n'est intégré à aucune infrastructure à clé publique (PKI) pouvant être effectuée de la façon suivante :

  1. Générez un certificat root
  2. Générez un certificat de signature
  3. Générez un certificat SSL
  4. Générez la chaîne d'approbation contenant les certificats de l'étape 1 et 2
  5. Uploadez-les dans la Console GravityZone

NOTE : Veuillez utiliser cette méthode avec précaution, puisqu'elle n'est pas sécurisée. Il s'agit uniquement d'une manière rapide de configurer un serveur MDM GravityZone.

  1. Sur une machine Linux OS sur laquelle OpenSSL est installé, dans le même dossier, créez les scripts bash :
    1. Ouvrez un nouveau fichier avec le nom mentionné dans l'éditeur de texte et créez le fichier script de la liste ci-dessous.
      ex .: #vim createroot.sh
    2. Tapez :i pour passer du mode affichage au mode édition.
    3. Copiez les commandes mentionnées pour chaque fichier dans l'éditeur.
    4. Enregistrez le fichier.
      ex .: Utilisez la combinaison de touches :wq

    Les noms des scripts et le contenu :

    1. createroot.sh

      #!/bin/bash

      openssl req -newkey rsa:2048 -days 3650 -x509 -keyout rootkey.pem -out root.cer -sha1 –subj "/C=XX/O=XX/CN=XX/"

      Note : Remplacez le pays C=XX, l'entreprise O=XX et le nom commun CN=XX en fonction de vos préférences.
      ex : "/C=FR/O=Bitdefender/CN=MDM Root/"
       
    2. createssl.sh

      #!/bin/bash

      openssl req -new -newkey rsa:2048 -keyout sslkey.pem -out ssl.csr -subj "/CN=$1/" -batch

      openssl x509 -req -days 365 -in ssl.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha1 -out ssl.cer

    3. createcom.sh

      #!/bin/bash

      openssl req -new -newkey rsa:2048 -keyout comkey.pem -out com.csr -subj "/CN=$1/" -batch

      openssl x509 -req -days 365 -in com.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha1 -out com.cer

    4. createsgn.sh

      #!/bin/bash

      openssl req -out sgn.csr -new -newkey rsa:2048 -keyout sgnkey.pem -subj "/C=XX/O=XX/CN=XX/" -batch

      openssl x509 -req -days 365 -in sgn.csr -CA root.cer -CAkey rootkey.pem -CAcreateserial -CAserial root.serial -sha1 -out sgn.cer -extfile noCA.cnf

      rm sgn.csr

      Note : Remplacez le pays C=XX, l'entreprise O=XX et le nom commun CN=XX en fonction de vos préférences.
      e.g.: "/C=FR/O=Bitdefender/CN=MDM certificat de signature/"
       
    5. createchain.sh

      #!/bin/bash

      cat root.cer sgn.cer >chain.pem

    6. noCA.cnf

      basicConstraints=CA:false

  2. Générez les certificats avec l'utilisation des scripts déjà créés.
    Dans bash shell, exécutez les scripts dans l'ordre suivant :
    1. Le certificat root

      #chmod +x createroot.sh
      #./createroot.sh

      Souvenez-vous du mot de passe protégeant la clé privée.
      Fichiers créés : root.cer, rootkey.pem.
       
    2. Le certificat de sécurité de Control Center

      #chmod +x createssl.sh
      #./createssl.sh IP|FQHN

      Indiquez l'IP ou le nom d'hôte complet en fonction de la configuration du serveur.
      Comme toujours, souvenez-vous du mot de passe.
      Fichiers créés : le certificat SSL - ssl.cer, la clé privée - sslkey.pem.
       
    3. Le certificat du Serveur de Communication

      #chmod +x createcom.sh
      #./createcom.sh IP|FQHN

      Indiquez l'IP ou le nom d'hôte complet en fonction de la configuration du serveur.
      Comme toujours, souvenez-vous du mot de passe.
      Fichiers créés : com.cer, comkey.pem.
       
    4. Le certificat MDM Push d'Apple
      Apple délivre ce certificat directement à votre entreprise mais requiert que votre Demande de signature de certificat soit signée par Bitdefender. Le Control Center fournit un assistant pour vous aider à obtenir facilement votre certificat MDM Push d'Apple.
      NOTE : Vous aurez besoin d'un identifiant Apple pour obtenir le certificat. Si vous n'avez pas d'identifiant Apple, vous pouvez en créer un ici. Veillez à valider votre identifiant Apple et à définir une question de sécurité avant de poursuivre pour obtenir votre certificat push MDM Apple.
       
    5. Le certificat de signature des profils et d'identité MDM iOS

      #chmod +x createsgn.sh
      #./createsgn.sh

      Indiquez le mot de passe du certificat Racine et veillez à vous souvenir du mot de passe protégeant la clé privée de ce certificat.
      Fichiers créés : sgn.cer, sgnkey.pem.
       
    6. Certificats de la chaîne d'approbation de MDM iOS

      #chmod +x createchain.sh
      #./createchain.sh

      Fichiers créés : chain.pem. Un fichier nommé root.serial est également créé, ignorez-le simplement.
       
  3. Uploadez les fichiers correspondants dans le Control Center.
    La procédure d'upload est présentée dans le chapitre Certificats du Guide de l'administrateur.

Evaluez cet article :

Envoyer