> Tech > Configurer SSL

Configurer SSL

Tech - Par iTPro - Publié le 24 juin 2010
email

Pour configurer le cryptage SSL demandé par le serveur pour l'environnement en cluster d'IDM, il faut couvrir sept étapes. La procédure permettant de configurer le cryptage SSL sur un SQL Server en cluster est conceptuellement la même que celle que l'on utilise sur un SQL Server unique, mais elle comporte

Configurer SSL

de petites
variantes que j’expliquerai au fur et à 
mesure.

Etape 1 Log in.:

Vous faites un log in
dans le noeud idmdb1 en utilisant le
nom d’utilisateur tiga\sqlsvc username.
Ensuite, vous fournissez le mot
de passe approprié pour le système.

Etape 2 : Demander un certificat
pour le nom entièrement qualifié du serveur
virtuel.

Pour valider le cryptage
SSL, vous devez vérifier que votre serveur
et vos clients ont un certificat numérique
provenant d’un CA racine de
confiance. (Pour plus d’informations
sur les deux genres de CA, voir l’encadré
« Principes de base du CA ».) Pour
IDM, le nom du serveur virtuel est idmsql.
tiga.tld. Pour demander un certificat,
démarrez Internet Explorer (IE),
tapez dans la section Address un URL
pour le site Web CA dans votre
domaine. IDM utiliserait http://tiga.dc-
01/certsrv. Certsrv.exe est le programme
Windows qui exécute Microsoft
Certificate Service. La figure 1
montre la page Welcome du site.
Sélectionnez l’option Request a certificate
et cliquez sur Next. Sélectionnez
l’option Advanced request sur la page
suivante et cliquez sur Next. Sur la
page Advanced Certificate Requests
qu’illustre la figure 2, choisissez l’option
par défaut Submit a certificate request
to this CA using a form et cliquez
sur Next. Page suivante, dans la boîte
de texte Name, tapez le nom de réseau
complet de votre serveur SQL virtuel
(à  noter que ce n’est pas le nom du
noeud du cluster à  partir duquel vous
vous êtes connecté). La figure 3
montre le nom SQL Server d’IDM,
idmsql.tiga.tld. Vérifiez que Client Authentication Certificate est sélectionné
comme intended purpose du
certificat. (Si vous utilisez un CA d’entreprise,
vous devez sélectionner Web
Server comme intended purpose du
certificat pour obtenir un modèle
d’écran qui vous permettra d’indiquer
le nom de réseau complet du SQL
Server.)

La fenêtre Advanced Certificate
Request vous permet aussi de choisir
diverses options de cryptage et de certificat
comme le fournisseur cryptographique
et la taille de clé. Pour IDM, acceptez
toutes les valeurs par défaut.
Une fois vos sélections effectuées, cliquez
sur Submit pour envoyer votre requête
au CA. L’écran suivant vous informera
que le CA a reçu votre requête
de certificat et que vous devez attendre
un administrateur de réseau pour
émettre un certificat. (A ce stade, vous
pouvez demander à  votre administrateur
réseau de traiter votre requête.)

Vous pouvez sauter l’étape suivante
si vous avez un CA d’entreprise,
auquel cas votre demande de certificat est traitée automatiquement. Mais
Windows suspend toutes les demandes
de certificat pour des CA autonomes,
et IDM a un CA autonome.

Etape 3 : Traiter la demande de certificat
et émettre un certificat.

Peu de DBA ont l’autorisation de gérer le CA
(Certificate Authority), particulièrement
si celui-ci est installé sur le PDC.
Le plus souvent, vous devez attendre
votre administrateur réseau pour traiter
la requête. Mais, si vous avez des
permissions administrateur sur le réseau,
vous pouvez traiter la demande
de certificat vous-même. Tout d’abord,
connectez-vous au serveur dans lequel
le CA est installé, et sélectionnez Start,
Programs, Administrative Tools, Certification
Authority. Dans le snap-in
Microsoft Management Console (MMC) Certification Authority, agrandissez
la section Pending Requests,
trouvez la requête que vous venez de
soumettre, faites un clic droit dessus,
et sélectionnez All Tasks, Issue, comme
le montre la figure 4. Pour voir si tout a
bien marché, agrandissez la section
Issued Certificates et recherchez votre
certificat.

Etape 4 : Installer le certificat.

Après avoir obtenu confirmation du certificat
de la part de votre administrateur réseau
ou avoir émis le certificat vousmême,
revenez à  la page Web du CA
(http://tiga-dc-01/certsrv). Sur l’écran
Welcome de la figure 1, sélectionnez
l’option Check on a pending certificate
et cliquez sur Next. Page suivante, sélectionnez
votre certificat dans la boîte
de liste et cliquez sur Next. Sur l’écran Certificate Issued (qui arrive presque
immédiatement après l’étape 2 si vous
avez un CA d’entreprise), cliquez sur
l’option Install this certificate. La page
suivante confirmera que votre certificat
a été correctement installé.

Etape 5 : Vérifier votre certificat.

Pour vérifier que le certificat est correctement
installé sur votre machine,
faites un clic droit sur l’icône IE de
votre bureau et sélectionnez Properties.
Sélectionnez l’onglet Content,
et cliquez sur Certificates. Le certificat
que vous venez d’installer doit se trouver
dans la liste pour que vous puissiez
valider le cryptage SSL. Assurez-vous
que la valeur Issued To est l’adresse réseau
complète de votre SQL Server
(idmsql.tiga.tld, dans ce cas). Sélectionnez
votre certificat et cliquez sur
View. Vérifiez que le panneau inférieur
de la fenêtre indique que votre état de
certificat est OK, comme le montre la
figure 5.
Si vous travaillez avec une installation
non cluster de SQL Server, émettez
le certificat vers l’ordinateur serveur
en utilisant son nom de domaine
complet. Dans cet exemple, le nom
complet de la machine IDM idmdb1 serait
idmdb1.tiga.tld. Le reste de la procédure
est identique. Pour un environnement
SQL Server en cluster, vous
devez répéter les étapes 1 à  5 pour
chaque noeud.

Etape 6 : Demander le cryptage SSL sur le serveur.

Après avoir installé les
certificats sur tous les noeuds du
cluster, allez à  celui qui possède actuellement
le service SQL Server et sélectionnez
Start, Programs, Microsoft SQL
Server, Server Network Utility. Sélectionnez
l’option Force protocol encryption,
comme le montre la figure 6,
et cliquez sur OK. Cette option valide
le cryptage pour toutes les connexions
entrantes.

Etape 7 : Redémarrer le service SQL
Server pour démarrer le cryptage SSL.

Pour arrêter le service SQL Server dans
un environnement en cluster, allez à 
n’importe quel noeud du cluster et sélectionnez
Start, Programs, Administrative
Tools, Cluster Administration.
Puis faites un clic droit sur SQL Server
dans la section Active Resources et sélectionnez
Take Offline comme
l’illustre la figure 7. Attendez pendant
que SQL Server et toutes les ressources
dépendantes (SQL Server
Agent, Microsoft Search, par exemple)
sont mis offline. Ensuite, faites à  nouveau
un clic droit sur SQL Server et cliquez
sur Bring Online. Enfin, vérifiez
que le service SQL Server a démarré,
en essayant de vous y connecter à 
l’aide de Query Analyzer. Examinez le
journal d’erreurs de SQL Server pour
voir si le serveur n’a signalé aucune erreur
au moment de son démarrage.

Téléchargez gratuitement cette ressource

Cloud hybride : 4 Stratégies de réussite

Cloud hybride : 4 Stratégies de réussite

Que vous souhaitiez développer ou renforcer votre approche du Cloud hybride, évaluer les meilleures options ou encore enrichir votre processus de prise de décision, découvrez dans ce Guide, 4 stratégies de Cloud hybride alignées avec vos objectifs business & technologiques.

Tech - Par iTPro - Publié le 24 juin 2010