Activation de TLS 1.2 pour la connexion HTTPS

Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
nfa1000
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
Prérequis
Créez les fichiers de certificat requis avant l'activation de TLS.
Procédez comme suit :
Assurez-vous de suivre ces étapes correctement ou vous risquez de perdre la connexion RDP.
  1. Exécutez l'utilitaire gpedit.msc à partir du système sur lequel NFA est installé.
  2. Sélectionnez Configuration ordinateur, Modèles d'administration, Composants Windows, Services Bureau à distance, Hôte de session Bureau à distance, puis Sécurité.
  3. Double-cliquez sur
    Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP)
    .
  4. Cliquez sur
    Activé
    .
  5. Dans la liste déroulante Couche de sécurité, sélectionnez
    Négocier
    .
  6. Cliquez sur
    OK
    .
  7. Sauvegardez le registre et créez le registre suivant pour TLS 1.0 et TLS 1.1 :
    1. Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
      Valeur : Activé
      Type de valeur : REG_DWORD
      Données de valeur : 0
    2. Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
      Valeur : Activé
      Type de valeur : REG_DWORD
      Données de valeur : 0
  8. Accédez au dossier
    chemin_installation\Portal\SSO\etc
    .
  9. Modifiez le fichier
    jetty-ssl-context.xml
    et ajoutez les lignes suivantes après la balise
    <Set name="ExcludeCipherSuites">
    .
    <Set>
    .
    .
    <Array type="String">
    <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
    <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
    <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
    <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
    <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
    <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
    <Item>TLS_RSA_WITH_RC4_128_MD5</Item>
    <Item>TLS_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
    <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item>
    <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
    <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
    </Array>
    </Set>
    <!--<Get name="sslContextFactory">-->
    <Set name="excludeProtocols">
    <Array type="java.lang.String">
    <Item>SSL</Item>
    <Item>SSLv2</Item>
    <Item>SSLv2Hello</Item>
    <Item>SSLv3</Item>
    <Item>TLSv1</Item>
    <Item>TLSv1.1</Item>
    </Array>
    </Set>
    Les étapes 10 et 11 ci-après sont requises uniquement pour l'intégration de CA PC via HTTPS ou TLS.
  10. Modifiez le fichier
    chemin_installation
    /RIB/start.ini
    .
    1. Commentez les lignes suivantes pour désactiver la communication HTTP.
      --module=http jetty.port=8681
    2. Supprimez les commentaires des lignes suivantes et modifiez-les si nécessaire (
      keystore.password
      et
      keymanager.password
      doivent posséder la même valeur) pour activer la communication HTTPS.
      --module=https jetty.keystore=
      install_path
      /certs/nfa-console-keystore.pfx jetty.keystore.password=somepassword jetty.keymanager.password=somepassword jetty.truststore=
      install_path
      /certs/nfa-console-truststore.pfx jetty.truststore.password=somepassword https.port=8681
  11. Modifiez le fichier
    chemin_installation
    /RIB/etc/jetty-ssl.xml
    et procédez comme suit :
    1. Pour utiliser des protocoles de couche transport spécifiques, supprimez les commentaires et modifiez les lignes suivantes avant la balise de fin de configuration (applicable uniquement à TLS 1.2) :
      <Call name="addExcludeProtocols">
      <Arg>
      <Array type="java.lang.String">
      <Item>SSL</Item>
      <Item>SSLv2</Item>
      <Item>SSLv2Hello</Item>
      <Item>SSLv3</Item>
      <Item>TLSv1</Item>
      <Item>TLSv1.1</Item>
      </Array>
      </Arg>
      </Call>
    2. Pour exclure les chiffrements, ajoutez les lignes suivantes après la balise
      <Set name="ExcludeCipherSuites">
      :
      <Set>
      <Array type="String">
      <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
      <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
      <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
      <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
      <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
      <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
      <Item>TLS_RSA_WITH_RC4_128_MD5</Item>
      <Item>TLS_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_RSA_WITH_RC4_128_SHA</Item>
      <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item>
      <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
      </Array>
      </Set>
  12. Vérifiez que les ports 8382 et 8681 sont ouverts si les pare-feu sont activés.
  13. Redémarrez les services suivants dans l'ordre indiqué.
    • CA MySQL
    • NetQoS NQMySql
    • Harvester CA NFA
    • Services Web de collecte et d'interrogation de CA NFA
    • Conservation de données CA NFA
    • Proxys DNS/SNMP de CA NFA
    • Serveur de fichiers CA NFA
    • Interrogateur de CA NFA
    • Reaper de CA NFA