Utiliser un certificat SSL / TLS valide pour le serveur WAPT

Lors de la post-configuration du serveur WAPT, le script crée un certificat auto-signé pour permettre l’utilisation du protocole HTTPS.

Ce certificat auto-signé ne sera pas reconnu par les navigateurs et il ne permettra pas une vérification correcte du serveur WAPT.

Il est donc conseillé d’utiliser un certificat SSL / TLS reconnu par les navigateurs des postes client de votre Organisation (certificat commercial ou provenant de votre Autorité de Certification interne déjà poussé sur les postes).

Mettre en place le certificat SSL / TLS avec linux

  • remplacez les fichiers de certificats publics et la clef privée présents dans le répertoire /opt/wapt/waptserver/ssl/ par ceux de votre Organisation ;

Indication

  • il est ici supposé qu’un certificat avec le Common Name ait été préalablement généré par le Gestionnaire de Certificats de l’Organisation pour srvwapt.mydomain.lan ;
  • copier au préalable vos certificats .crt et .key sur votre serveur. Ci-dessous, nous supposons qu’ils sont dans le dossier /etc/ssl/private ;
cp -f /etc/ssl/private/srvwapt.mydomain.lan.crt /opt/wapt/waptserver/ssl/cert.pem
cp -f /etc/ssl/private/srvwapt.mydomain.lan.key /opt/wapt/waptserver/ssl/key.pem
chmod 440 /opt/wapt/waptserver/ssl/*.pem

#Debian :
chown root:www-data /opt/wapt/waptserver/ssl/*.pem

#Centos :
chown root:nginx /opt/wapt/waptserver/ssl/*.pem

Note

Cas particulier des certificats issue d’une CA interne

Les certificats issus d’une Autorité de Certification interne (CA) doivent comporter la chaîne complète de validation jusqu’au certificat de l”Autorité de Certification.

Cet ajout pourra être réalisé manuellement en concaténant le certificat issu de la CA et la CA dans le certificat final qui sera utilisé par Nginx.

Exemple : echo srvwapt.mydomain.lan.crt ca.crt > cert.pem

  • pour plus de détails sur la vérification et la validation de certificats côté agent WAPT, visiter cette documentation ;
  • pour plus de détails sur la configuration Nginx utilisée : config_nginx ;
  • relancer Nginx pour prendre en compte les nouveaux certificats ;
systemctl restart nginx
  • vérifier que le serveur Nginx ait bien redémarré ;
ps -edf | grep nginx

Mettre en place le certificat SSL / TLS avec Windows

  • remplacez les fichiers de certificats publics et la clef privée présents dans le répertoire /opt/wapt/waptserver/ssl/ par ceux de votre Organisation ;

Note

Cas particulier des certificats issue d’une CA interne

Les certificats issus d’une Autorité de Certification interne (CA) doivent comporter la chaîne complète de validation jusqu’au certificat de l”Autorité de Certification.

Cet ajout pourra être réalisé manuellement en concaténant le certificat issu de la CA et la CA dans le certificat final qui sera utilisé par Nginx.

  • pour plus de détails sur la vérification et la validation de certificats côté agent WAPT, visiter cette documentation ;
  • pour plus de détails sur la configuration Nginx utilisée : config_nginx ;
  • relancer Nginx pour prendre en compte les nouveaux certificats ;
net stop waptnginx
net start waptnginx

Vérifier la validité du certificat

  • se connecter avec un navigateur à jour (Firefox 57 / Firefox 52.5 ESR) sur l’interface web du serveur WAPT : https://srvwapt.mydomain.lan ;

Indication

Le navigateur doit avoir connaissance de l”Autorité de Certification utilisée pour la création du certificat SSL / TLS.

Résultat attendu : La connexion au site doit se faire sans encombre, sans avertissement de sécurité et le certificat émis par le serveur WAPT doit apparaître comme étant sûr et vérifié par l’Autorité de Certification de votre Organisation.

Passez à l’étape de configuration de l’Active Directory ou passez directement à l”installation de la console avec WAPT Setup.