TUTOS.EU

Sécuriser un site StoreFront de XenDesktop 7.5 en https

Comment passer de http à https un site StoreFront de XenDesktop 7.5 à l'aide d'un certificat

Appuyez en même temps sur la touche Windows plus R,
tapez mmc et appuyez sur la touche Entrée
(Plus directement vous pouvez lancer certmgr.msc)

Cliquez sur File puis sur Add Remove Snap-in

Cliquez sur Certificates puis sur Add

Sélectionnez Computer account puis Next

Laissez sur Local puis cliquez sur Finish

Cliquez sur Ok

Développez Certificates, allez sur Trusted etc puis sur Certificates, faites un clic droit et import

Cliquez sur Next

Cliquez sur Browse

Mettez le filtre sur All files, allez chercher votre certificat et cliquez sur Open

Cliquez sur Next

Entrez le mot de passe du certificat, marquez le éventuellement comme exportable et cliquez sur Next

Cliquez sur Next

Cliquez sur Finish

On voit bien apparaitre le certificat

Lancez le Server Manager, cliquez sur tools et lancez Computer Management

Cliquez sur Internet Information Services, cliquez sur votre serveur et double cliquez sur Server Certificates

Cliquez sur Import

En bas à droite retirez le filtre.
Allez chercher le certificat qui correspond au nom DNS de votre serveur.
Ici le certificat a précédemment été généré avec ezssl et openssl.

Entrez le mot de passe du certificat et cliquez sur Ok

On voit bien apparaitre le certificat

Cliquez sur Default Web Site puis sur Bindings

Cliquez sur Add, choisissez https, sélectionnez votre certificat puis terminez par Ok

Il ne doit y avoir de message d'erreur car précédemment on avait déclaré le certificat dans les autorités de confiance.
Cliquez sur Close

Lancez la console de StoreFront

Dans Server Group cliquez sur Change Base URL

Ajoutez un s à http puis cliquez sur Ok

Cela donne ceci. Attention du coup l'adresse en http ne répond plus

Dans Receiver for Web l'url d'accès est également passée en https

Dans Stores également

Maintenant votre certificat n'est pas installé sur les clients, aussi lorsqu'ils tenteront d'accéder au site,
ils auront ce type de message :

Sur votre DC, ici un 2008 R2, exécutez gpmc.msc

Allez comme montré ci-dessous, faites un clic droit et chosissez Importer

Cliquez sur Parcourir etc

Retirez le filtre en bas à droite et allez chercher votre certificat

Cliquez sur Suivant

Mettez le mot de passe etc

Cliquez sur Suivant

Cliquez surTerminer

Redémarrez les postes clients ou forcez l'application des stratégies via un gpupdate /force.
L'accès au site ne doit plus poser de probleme.

Au niveau du Store et de l'url passée en HTTPS,
cliquez sur Manage Delivery Controllers

Cliquez sur Edit

Passez la communication en https et cliquez sur Ok 2 fois

Notes au niveau du Firewall

Notez qu'afin d'être capable de vérifier la liste de révocation de certificat, il faut que les utilisateurs puisse la lire sur l'autorité de certification secondaire. Pour cela il faut ouvrir les ports suivants entre les clients et la CA secondaire :

Firewall rules between the perimeter network and the internal network to contact CRL distribution point to get the certificate revocation list:

• Server Protocol = LDAP or HTTP or FTP

• For LDAP: port = TCP: 389, UDP: 389. For HTTP: port = 80. For FTP: Port = 21

La vérification de la validité du certificat en ligne est une option sélectionnée par défaut.

Il est possible de modifier ce comportement. Les différents choix sont :

• Disabled. No certificate revocation list checking is performed.

• Only check locally stored CRLs. CRLs that were installed or downloaded previously are used in certificate validation. Connection fails if the certificate is revoked.

• Require CRLs for connection. CRLs locally and from relevant certificate issuers on the network are checked. Connection fails if the certificate is revoked or not found.

• Retrieve CRLs from network. CRLs from the relevant certificate issuers are checked. Connection fails if the certificate is revoked.

If you do not set CRL verification, it defaults to Only check locally stored CRLs.

Pages Web

Site WebDescription
Robinhobo.com : configurer StoreFrontUn lien qui explique comment confgurer StoreFront en https

Article(s) suivant(s)

2