« Feuille classe » : différence entre les versions

De Travail-ivan
← Modification précédenteModification suivante →
VisuelWikicode
Aucun résumé des modifications
Balise : Révocation manuelle
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
https://techexpert.tips/fr/glpi-fr/recuperation-du-mot-de-passe-glpi/


* mysql> use glpi;
== I. Présentation ==
* mysql> update glpi.glpi_users set password='$2y$10$p..X4No3kbL9zq3s9yyXuuNdbHN78Bd/j8aiInj5L7Fo1Hg3hJMFa' where name = 'glpi';
'''Avec une autorité de certification, vous pourrez gérer vos certificats numériques, de la délivrance d'un certificat à sa révocation. Cette couche de sécurité offrira notamment les avantages suivants : intégrité, authentification, non répudiation et confidentialité. Ceci est possible grâce à l'utilisation à la fois de certificats, mais aussi de clés, c'est pour cela que l'on parle souvent de PKI :  ''Public Key Infrastructure''''', ou en français : IGC - Infrastructure de gestion de clés.
* mysql> quit;


'''Sous Windows Server, la mise en oeuvre d'une autorité de certification s'effectue par l'intermédiaire du rôle ADCS : Active Directory Certificate Services'''. Il existe des outils open source pour mettre en place une CA sous Unix/Linux.


   
Une autorité de certification peut s'avérer utile et peut être sollicitée dans le cadre de nombreux projets : mise en place d'un serveur NPS (''Network Policy Server'') pour obtenir un certificat valide pour utiliser le 802.1X, mise en place des flux sécurisés et chiffrés pour votre serveur WSUS, ou votre Active Directory, authentification renforcée sur des applications, accès VPN.... Tant de projets pour lesquels vous pourriez avoir besoin de la solution ADCS.
* Pour des raisons de sécurité, veuillez changer le mot de passe par défaut pour le(s) utilisateur(s) : glpi
*    Pour des raisons de sécurité, veuillez supprimer le fichier : install/install.php
*    390 tables utilisent le charset déprécié, utf8mb3. Exécutez la commande "php bin/console migration:utf8mb4" pour les migrer.
*    1307 colonnes primaires ou étrangères utilisent des entiers signés Exécutez la commande "php bin/console migration:unsigned_keys" pour les migrer.
*    La configuration du dossier racine du serveur web n'est pas sécurisée car elle permet l'accès à des fichiers non publics. Référez-vous à la documentation d'installation pour plus de détails.
*    La directive PHP "session.cookie_httponly" devrait être définie à "on" pour prévenir l'accès aux cookies depuis les scripts côté client.
*


Cette autorité de certification Microsoft sera capable également de signer vos scripts PowerShell pour que leur exécution soit autorisée sur les serveurs et les postes clients de votre entreprise. Ce qui vous évitera de modifier la politique d'exécution des scripts et d'exposer vos postes aux problèmes que ça implique.


/quiet /i ‘’\\win2022\agentglpi\GLPI-Agent-1.4-x64.msi’’ RUNNOW=1 ADD_FIREWALL_EXCEPTION=1
L'autorité de certification est un vaste sujet, qui peut s'avérer complexe, et nécessite à minima un serveur mais selon vos besoins et les rôles à déployer, plusieurs serveurs peuvent être nécessaires.
EXECMODE=1 SERVER=‘’http://192.168.4.11/glpi’’


#
'''Dans ce tutoriel, nous allons créer une autorité de certification racine d'entreprise, sous Windows Server 2016, intégrée au sein du domaine it-connect.fr. Le serveur se nomme FB-ADCS et il est déjà intégré au domaine.'''
# 2048 bit OpenVPN static key
 
#
== II. Installer le rôle ADCS ==
-----BEGIN OpenVPN Static key V1-----
Pour débuter l'installation, il faut installer le rôle ADCS ainsi que les outils de gestion en mode graphique. Pour réaliser cette installation, ouvrez une console PS en tant qu'administrateur et saisissez :
cad0dd44bef7e40ea7dba3595dcedc62
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
729d70c8fda1b464a0d31dbd30958ef2
La partie installation s'arrête ici, ensuite ce n'est que de la configuration.
0fe44347141a5397ef9254b676d9cef3
 
9cc5253e00fa21a6fbfb1919e5f05e8b
== III. Créer l'autorité de certification racine ==
d2e6d54558d54037e9c3fe222833fce9
Il est à noter que cette configuration peut être réalisée entièrement en PowerShell, mais pour faire vos premiers pas je pense que c'est bien de passer par l'assistant, pour y aller étape par étape, et comprendre ce que vous faites. '''Avant de commencer, connectez-vous avec un compte utilisateur étant admin du domaine.'''
82e2448b7143e79b8ae9b89194fc9f32
 
2e155f7bcf81cc40de00567dcf42e0e0
Commencez par démarrer le gestionnaire de serveur, et cliquez sur l'icône drapeau en haut à droite pour démarrer la configuration.
aed5ac465d209c9dc6bd88c90a4afe1f
 
16660011a1629fff06be7fd7126a2f84
Cliquez directement sur suivant si vous êtes bien connecté avec un compte administrateur, sinon indiquez un compte admin du domaine. Ceci est impératif car des données doivent être écrites dans l'Active Directory.
313c28ec2e1259ee52db28c4da006264
 
c01bd4b2e76af9662950449d7bd2c5ee
Plusieurs rôles sont proposés, sélectionnez uniquement "'''Autorité de certification'''".
c9b9fad7a737b6b89d19e37ded8cbe5d
 
3f78092e6940eb16dcaa8b25837852bb
Sélectionnez ensuite "'''Autorité de certification d'entreprise'''". Mais au fait, c'est quoi la différence entre une CA d'entreprise et une CA autonome ?
9fe88ff5339c55fe0479380e43bdb5ae
 
d5bd639d935b1d4c7ef30c11bab43a31
'''La CA d'Entreprise nécessite un serveur intégré au domaine et elle stockera des données directement dans votre annuaire Active Directory (certificats, clés privées, etc. avec une notion d'archivage), et facilitera la distribution de certificats auprès des postes intégrés au domaine notamment car ils seront automatiquement approuvés car dit de confiance. Une CA autonome peut être installée sur un serveur hors domaine, par conséquent elle ne stocke aucune donnée dans votre annuaire AD, ce qui empêche notamment d'utiliser l'inscription automatique.'''
8c9c0bac7a708b382e0da67b7c09cd09
 
-----END OpenVPN Static key V1-----
Comme il s'agit de la première Autorité de certification de notre infrastructure, sélectionnez "'''Autorité de certification racine'''".
 
Nous allons créer une nouvelle clé privée car nous partons de zéro.
 
Pour sécuriser notre clé privée avec un algorithme de hachage suffisamment robuste, sélectionnez "SHA256". '''Le SHA1 est déprécié par Microsoft depuis janvier 2017 qui lui préfère SHA256.''' Notez que SHA1 reste aujourd'hui très largement utilisé et il est malgré tout robuste, mais ne représente pas l'avenir donc je vous conseil de partir directement sur SHA256. Une longueur de clé de 2048 sera suffisante.
 
Indiquez un nom pour votre autorité de certification, il s'agit d'un nom qui sera indiqué dans les différents certificats que vous allez émettre avec votre CA.
 
Spécifiez la durée de validité du certificat généré pour votre CA, par défaut la valeur est de 5 années. Vous pouvez laisser comme ceci.
 
Laissez par défaut les chemins indiqués pour stocker la base de données des certificats et les logs associés. Poursuivez directement.
 
Il ne vous reste plus qu'à valider et après quelques minutes, vous devriez obtenir un joli message "''Configuration réussie''".
 
La console ADCS vous permettra de gérer votre autorité de certification, mais n'oubliez pas, PowerShell est également votre allié !
 
Dans un prochain tutoriel, nous verrons '''comment signer un script PowerShell avec un certificat de notre autorité de certification'''.

Version du 4 avril 2024 à 09:59

I. Présentation

Avec une autorité de certification, vous pourrez gérer vos certificats numériques, de la délivrance d'un certificat à sa révocation. Cette couche de sécurité offrira notamment les avantages suivants : intégrité, authentification, non répudiation et confidentialité. Ceci est possible grâce à l'utilisation à la fois de certificats, mais aussi de clés, c'est pour cela que l'on parle souvent de PKI :  Public Key Infrastructure, ou en français : IGC - Infrastructure de gestion de clés.

Sous Windows Server, la mise en oeuvre d'une autorité de certification s'effectue par l'intermédiaire du rôle ADCS : Active Directory Certificate Services. Il existe des outils open source pour mettre en place une CA sous Unix/Linux.

Une autorité de certification peut s'avérer utile et peut être sollicitée dans le cadre de nombreux projets : mise en place d'un serveur NPS (Network Policy Server) pour obtenir un certificat valide pour utiliser le 802.1X, mise en place des flux sécurisés et chiffrés pour votre serveur WSUS, ou votre Active Directory, authentification renforcée sur des applications, accès VPN.... Tant de projets pour lesquels vous pourriez avoir besoin de la solution ADCS.

Cette autorité de certification Microsoft sera capable également de signer vos scripts PowerShell pour que leur exécution soit autorisée sur les serveurs et les postes clients de votre entreprise. Ce qui vous évitera de modifier la politique d'exécution des scripts et d'exposer vos postes aux problèmes que ça implique.

L'autorité de certification est un vaste sujet, qui peut s'avérer complexe, et nécessite à minima un serveur mais selon vos besoins et les rôles à déployer, plusieurs serveurs peuvent être nécessaires.

Dans ce tutoriel, nous allons créer une autorité de certification racine d'entreprise, sous Windows Server 2016, intégrée au sein du domaine it-connect.fr. Le serveur se nomme FB-ADCS et il est déjà intégré au domaine.

II. Installer le rôle ADCS

Pour débuter l'installation, il faut installer le rôle ADCS ainsi que les outils de gestion en mode graphique. Pour réaliser cette installation, ouvrez une console PS en tant qu'administrateur et saisissez : 

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

La partie installation s'arrête ici, ensuite ce n'est que de la configuration.

III. Créer l'autorité de certification racine

Il est à noter que cette configuration peut être réalisée entièrement en PowerShell, mais pour faire vos premiers pas je pense que c'est bien de passer par l'assistant, pour y aller étape par étape, et comprendre ce que vous faites. Avant de commencer, connectez-vous avec un compte utilisateur étant admin du domaine.

Commencez par démarrer le gestionnaire de serveur, et cliquez sur l'icône drapeau en haut à droite pour démarrer la configuration.

Cliquez directement sur suivant si vous êtes bien connecté avec un compte administrateur, sinon indiquez un compte admin du domaine. Ceci est impératif car des données doivent être écrites dans l'Active Directory.

Plusieurs rôles sont proposés, sélectionnez uniquement "Autorité de certification".

Sélectionnez ensuite "Autorité de certification d'entreprise". Mais au fait, c'est quoi la différence entre une CA d'entreprise et une CA autonome ?

La CA d'Entreprise nécessite un serveur intégré au domaine et elle stockera des données directement dans votre annuaire Active Directory (certificats, clés privées, etc. avec une notion d'archivage), et facilitera la distribution de certificats auprès des postes intégrés au domaine notamment car ils seront automatiquement approuvés car dit de confiance. Une CA autonome peut être installée sur un serveur hors domaine, par conséquent elle ne stocke aucune donnée dans votre annuaire AD, ce qui empêche notamment d'utiliser l'inscription automatique.

Comme il s'agit de la première Autorité de certification de notre infrastructure, sélectionnez "Autorité de certification racine".

Nous allons créer une nouvelle clé privée car nous partons de zéro.

Pour sécuriser notre clé privée avec un algorithme de hachage suffisamment robuste, sélectionnez "SHA256". Le SHA1 est déprécié par Microsoft depuis janvier 2017 qui lui préfère SHA256. Notez que SHA1 reste aujourd'hui très largement utilisé et il est malgré tout robuste, mais ne représente pas l'avenir donc je vous conseil de partir directement sur SHA256. Une longueur de clé de 2048 sera suffisante.

Indiquez un nom pour votre autorité de certification, il s'agit d'un nom qui sera indiqué dans les différents certificats que vous allez émettre avec votre CA.

Spécifiez la durée de validité du certificat généré pour votre CA, par défaut la valeur est de 5 années. Vous pouvez laisser comme ceci.

Laissez par défaut les chemins indiqués pour stocker la base de données des certificats et les logs associés. Poursuivez directement.

Il ne vous reste plus qu'à valider et après quelques minutes, vous devriez obtenir un joli message "Configuration réussie".

La console ADCS vous permettra de gérer votre autorité de certification, mais n'oubliez pas, PowerShell est également votre allié !

Dans un prochain tutoriel, nous verrons comment signer un script PowerShell avec un certificat de notre autorité de certification.

Récupérée de "https://mediawiki.gallaisivan.synology.me/index.php?title=Feuille_classe&oldid=1299"