Activation de TLS 1.2 pour la connexion HTTPS
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
nfa1000
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
Prérequis
Créez les fichiers de certificat requis avant l'activation de TLS.
Procédez comme suit :
Assurez-vous de suivre ces étapes correctement ou vous risquez de perdre la connexion RDP.
- Exécutez l'utilitaire gpedit.msc à partir du système sur lequel NFA est installé.
- Sélectionnez Configuration ordinateur, Modèles d'administration, Composants Windows, Services Bureau à distance, Hôte de session Bureau à distance, puis Sécurité.
- Double-cliquez surNécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP).
- Cliquez surActivé.
- Dans la liste déroulante Couche de sécurité, sélectionnezNégocier.
- Cliquez surOK.
- Sauvegardez le registre et créez le registre suivant pour TLS 1.0 et TLS 1.1 :
- Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ServerValeur : ActivéType de valeur : REG_DWORDDonnées de valeur : 0
- Clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ServerValeur : ActivéType de valeur : REG_DWORDDonnées de valeur : 0
- Accédez au dossierchemin_installation\Portal\SSO\etc.
- Modifiez le fichierjetty-ssl-context.xmlet ajoutez les lignes suivantes après la balise<Set name="ExcludeCipherSuites">.<Set>..<Array type="String"> <Item>SSL_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item> <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item> <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_MD5</Item> <Item>TLS_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item> <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item></Array></Set><!--<Get name="sslContextFactory">--> <Set name="excludeProtocols"> <Array type="java.lang.String"> <Item>SSL</Item> <Item>SSLv2</Item> <Item>SSLv2Hello</Item> <Item>SSLv3</Item> <Item>TLSv1</Item> <Item>TLSv1.1</Item> </Array> </Set>Les étapes 10 et 11 ci-après sont requises uniquement pour l'intégration de CA PC via HTTPS ou TLS.
- Modifiez le fichier.chemin_installation/RIB/start.ini
- Commentez les lignes suivantes pour désactiver la communication HTTP.--module=http jetty.port=8681
- Supprimez les commentaires des lignes suivantes et modifiez-les si nécessaire (keystore.passwordetkeymanager.passworddoivent posséder la même valeur) pour activer la communication HTTPS.--module=https jetty.keystore=install_path/certs/nfa-console-keystore.pfx jetty.keystore.password=somepassword jetty.keymanager.password=somepassword jetty.truststore=install_path/certs/nfa-console-truststore.pfx jetty.truststore.password=somepassword https.port=8681
- Modifiez le fichieret procédez comme suit :chemin_installation/RIB/etc/jetty-ssl.xml
- Pour utiliser des protocoles de couche transport spécifiques, supprimez les commentaires et modifiez les lignes suivantes avant la balise de fin de configuration (applicable uniquement à TLS 1.2) :<Call name="addExcludeProtocols"><Arg><Array type="java.lang.String"><Item>SSL</Item><Item>SSLv2</Item><Item>SSLv2Hello</Item><Item>SSLv3</Item><Item>TLSv1</Item><Item>TLSv1.1</Item></Array></Arg></Call>
- Pour exclure les chiffrements, ajoutez les lignes suivantes après la balise<Set name="ExcludeCipherSuites">:<Set><Array type="String"><Item>SSL_RSA_WITH_DES_CBC_SHA</Item><Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item><Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item><Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item><Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item><Item>SSL_RSA_WITH_RC4_128_MD5</Item><Item>TLS_RSA_WITH_RC4_128_MD5</Item><Item>TLS_RSA_WITH_RC4_128_SHA</Item><Item>SSL_RSA_WITH_RC4_128_SHA</Item> <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item><Item>SSL_ECDHE_RSA_WITH_RC4_128_SHA</Item><Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item><Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item><Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item></Array></Set>
- Vérifiez que les ports 8382 et 8681 sont ouverts si les pare-feu sont activés.
- Redémarrez les services suivants dans l'ordre indiqué.
- CA MySQL
- NetQoS NQMySql
- Harvester CA NFA
- Services Web de collecte et d'interrogation de CA NFA
- Conservation de données CA NFA
- Proxys DNS/SNMP de CA NFA
- Serveur de fichiers CA NFA
- Interrogateur de CA NFA
- Reaper de CA NFA