Téléchargez et installez les certificats pour Secure Access ( ESA )
Téléchargez et installez les certificats pour Secure Access ( ESA )
Exigences relatives aux certificats de confiance pour une authentification sécurisée
Pendant le processus d'authentification via HTTPS, le client doit valider la chaîne de certificats TLS du serveur par rapport à une racine de confiance dans son magasin de confiance.
Les certificats racines exacts requis dépendent de vos cas d'utilisation d'authentification et des fournisseurs d'identité utilisés. Avant le déploiement, examinez vos flux d'authentification prévus et déterminez les services externes à contacter. Pour chaque service, identifiez la chaîne de certificats TLS complète qu'il présente et assurez-vous que les certificats racines correspondants sont importés dans le truststore Secure Access ( ESA ).
Par exemple, lors de l'authentification auprès de Microsoft Entra ID , la chaîne TLS est généralement signée par les autorités de certification racine globales DigiCert et Entrust. Ces autorités doivent être présentes dans le truststore Secure Access ( ESA ) pour permettre des authentifications sécurisées réussies.
Ajouter des certificats liés à Microsoft à Secure Access
Les certificats racines liés à Microsoft pour Secure Access ( ESA ) et Native Connectors (EPE) sont répertoriés ici :
https://learn.microsoft.com/en-us/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list#root-certificate-authorities
Ceux-ci sont nécessaires pour établir une connexion sécurisée entre les systèmes Entra ID et Secure Access .
Comment télécharger et importer ces 4 certificats racine pour Secure Access
Commencez par établir une connexion SSH avec votre hôte.
Créez votre propre utilisateur root
Obtenir le mot de passe du keystore :
Remarque ! Le mot de passe du magasin de clés ESA se trouve dans Consul, sous la clé « /<tenant goes here>/esa/keystore-password ». S'il n'y figure pas, il s'agit du mot de passe par défaut du magasin de clés Java . Pour afficher le mot de passe défini sur Consul, exécutez la commande suivante sur l'hôte : config-manager.py get /[TENANT]/esa/keystore-password
Prenez une connexion SSH au docker ESA (ssh demo2025-esa) (ssh <votre locataire>-esa)
Exécutez ces commandes sur le docker ESA
Accédez au dossier esa : cd /opt/esa
Récupérer 4 certificats racine :
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootCA.crt -o DigiCertGlobalRootCA.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG2.crt -o DigiCertGlobalRootG2.crt
curl -fSL https://cacerts.digicert.com/DigiCertGlobalRootG3.crt -o DigiCertGlobalRootG3.crt
curl -fSL https://files.entrust.com/root-certificates/entrust_g2_ca.cer -o entrust_g2_ca.cer
Utilisez le mot de passe du truststore pour importer ces quatre certificats dans le truststore esa :
keytool -importcert -file DigiCertGlobalRootCA.crt -keystore truststore.jks -alias DigiCertGlobalRootCA
keytool -importcert -file DigiCertGlobalRootG2.crt -keystore truststore.jks -alias DigiCertGlobalRootG2
keytool -importcert -file DigiCertGlobalRootG3.crt -keystore truststore.jks -alias DigiCertGlobalRootG3
keytool -importcert -file entrust_g2_ca.cer -keystore truststore.jks -alias entrust_g2_ca
keytool vous demandera pour chaque certificat : « Faites confiance à ce certificat » Réponse : Oui
Sortie du docker esa vers l'hôte, avec la commande : exit
Après ce processus, le conteneur ESA doit être redémarré pour appliquer de nouveaux certificats, en exécutant ces commandes sur l'hôte (remplacez [TENANT] par votre nom de locataire) :
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa
Ajouter des certificats liés à Signicat à Secure Access
Les certificats peuvent être consultés sur https://letsencrypt.org/certificates/ et https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates
Comment télécharger et importer ces certificats racine pour Secure Access
Commencez par établir une connexion SSH avec votre hôte.
Créez votre propre utilisateur root
Obtenir le mot de passe du keystore :
Remarque ! Le mot de passe du magasin de clés ESA se trouve dans Consul, sous la clé « /<tenant goes here>/esa/keystore-password ». S'il n'y figure pas, il s'agit du mot de passe par défaut du magasin de clés Java . Pour afficher le mot de passe défini sur Consul, exécutez la commande suivante sur l'hôte : config-manager.py get /[TENANT]/esa/keystore-password
Prenez une connexion SSH au docker ESA (ssh demo2025-esa) (ssh <votre locataire>-esa)
Exécutez ces commandes sur le docker ESA
Accédez au dossier esa : cd /opt/esa
Récupérez ces certificats racine :
curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem
Récupérez ces certificats racine et convertissez-les au format correct :
curl -fSL https://secure.globalsign.net/cacert/root-r1.crt -o root-r1.der
curl -fSL https://secure.globalsign.net/cacert/root-r3.crt -o root-r3.der
curl -fSL https://secure.globalsign.net/cacert/root-r5.crt -o root-r5.der
curl -fSL https://secure.globalsign.net/cacert/root-r6.crt -o root-r6.der
openssl x509 -inform DER -in root-r1.der -out root-r1.pem
openssl x509 -inform DER -in root-r3.der -out root-r3.pem
openssl x509 -informer DER -in root-r5.der -out root-r5.pem
openssl x509 -inform DER -in root-r6.der -out root-r6.pem
Utilisez le mot de passe du truststore pour importer ces quatre certificats dans le truststore esa :
keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed
keytool -importcert -fichier root-r1.pem -keystore truststore.jks -alias GlobalSignRootR1
keytool -importcert -fichier root-r3.pem -keystore truststore.jks -alias GlobalSignRootR3
keytool -importcert -fichier root-r5.pem -keystore truststore.jks -alias GlobalSignRootR5
keytool -importcert -fichier root-r6.pem -keystore truststore.jks -alias GlobalSignRootR6
keytool vous demandera pour chaque certificat : « Faites confiance à ce certificat » Réponse : Oui
Sortie du docker esa vers l'hôte, avec la commande : exit
Après ce processus, le conteneur ESA doit être redémarré pour appliquer de nouveaux certificats, en exécutant ces commandes sur l'hôte (remplacez [TENANT] par votre nom de locataire) :
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa
Ajouter les certificats liés à l'environnement de préproduction Signicat à Secure Access
Si vous configurez votre Secure Access sur Signicat de préproduction/test (preprod. signicat .com), téléchargez et importez ces certificats.
Les certificats peuvent être consultés sur https://www.buypass.com/security/buypass-root-certificates
Comment télécharger et importer ces certificats racine pour Secure Access
Commencez par établir une connexion SSH avec votre hôte.
Créez votre propre utilisateur root
Obtenir le mot de passe du keystore :
Remarque ! Le mot de passe du magasin de clés ESA se trouve dans Consul, sous la clé « /<tenant goes here>/esa/keystore-password ». S'il n'y figure pas, il s'agit du mot de passe par défaut du magasin de clés Java . Pour afficher le mot de passe défini sur Consul, exécutez la commande suivante sur l'hôte : config-manager.py get /[TENANT]/esa/keystore-password
Prenez une connexion SSH au docker ESA (ssh demo2025-esa) (ssh <votre locataire>-esa)
Exécutez ces commandes sur le docker ESA
Accédez au dossier esa : cd /opt/esa
Récupérez ces certificats racine :
curl -fSL https://crt.buypass.no/crt/BPClass3CA2.pem -o BPClass3CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA2.pem -o BPClass2CA2.pem
curl -fSL https://crt.buypass.no/crt/BPClass2CA5.pem -o BPClass2CA5.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem -o isrg-root-x1-cross-signed.pem
curl -fSL https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem -o isrg-root-x2-cross-signed.pem
Utilisez le mot de passe du truststore pour importer ces six certificats dans le truststore esa :
keytool -importcert -fichier BPClass3CA2.pem -keystore truststore.jks -alias BPClass3CA2
keytool -importcert -fichier BPClass2CA2.pem -keystore truststore.jks -alias BPClass2CA2
keytool -importcert -fichier BPClass2CA5.pem -keystore truststore.jks -alias BPClass2CA5
keytool -importcert -file isrg-root-x1-cross-signed.pem -keystore truststore.jks -alias isrg-root-x1-cross-signed
keytool -importcert -file isrg-root-x2-cross-signed.pem -keystore truststore.jks -alias isrg-root-x2-cross-signed
keytool vous demandera pour chaque certificat : « Faites confiance à ce certificat » Réponse : Oui
Sortie du docker esa vers l'hôte, avec la commande : exit
Après ce processus, le conteneur ESA doit être redémarré pour appliquer de nouveaux certificats, en exécutant ces commandes sur l'hôte (remplacez [TENANT] par votre nom de locataire) :
docker stop [TENANT]-esa && run-image -e TENANT=[TENANT] esa