Pour que Qubes fonctionne en https, il est nécessaire d’installer un certificat serveur sur chaque machine hébergeant le service QubesExpress.
Il y a trois possibilités :
- certificat fourni par une autorité de certification publique
- certificat fourni par une autorité de certification interne du client
- certificat fourni par Creative IT
Dans tous les cas, il est nécessaire d’obtenir le nom complètement qualifié de l’alias du serveur (FQDN) pour générer le certificat en respectant la procédure suivante :
- Télécharger les utilitaires depuis l’adresse suivante : https://tools.qubes.com/Resources/CertificatesTools.zip
- Décompresser le fichier dans le dossier de votre choix
- Dans ce dossier lancer GenerateCSR.exe
- renseigner le FQDN et valider
- deux fichier seront générés dans le sous-dossier Certs
- {FQDN}.csr
- {FQDN}.key
- le fichier {FQDN}.csr doit être soumis pour signature auprès de l’autorité de certification.
- après signature de la demande, un fichier .cer correspondant au certificat signé doit être récupéré
- il est ensuite nécessaire de convertir le certificat avec la clé privé ( fichier {FQDN}.key ) au format pfx
- pour cela, lancer GeneratePFX.exe
- indiquer les fichier cer et key, indiquer un mot de passe, le fichier .pfx sera généré a coté du fichier .cer
- ce fichier pfx ( avec le mot de passe correspondant ) devra être fourni pour lancer la procédure d’installation du serveur
La méthode pour le signer à l’aide d’une autorité de certification Microsoft est présentée ici :
Signature d’une requete de certificat à l’aide d’une autorité de certification PKI Microsoft
Si vous choisissez d’utiliser un certificat signé par Creative IT, il est nécessaire d’installer sur tous les navigateurs le certificat racine CIT-rootCA ci-dessous. Il est possible de le déployer par GPO en suivant la procédure ici :
https://technet.microsoft.com/fr-fr/library/cc770315
et pour Firefox ici:
https://wiki.mozilla.org/CA:AddRootToFirefox
-----BEGIN CERTIFICATE----- MIIFcjCCA1qgAwIBAgIQUjMToctTwJBBwWxBjuxU1jANBgkqhkiG9w0BAQ0FADBB MRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxEzARBgoJkiaJk/IsZAEZFgNDSVQxEzAR BgNVBAMTCkNJVC1yb290Q0EwHhcNMTUxMTA5MTA0MTA2WhcNMzUxMTA5MTA1MTAy WjBBMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxEzARBgoJkiaJk/IsZAEZFgNDSVQx EzARBgNVBAMTCkNJVC1yb290Q0EwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIK AoICAQClUUMUjLeslSoqcUT95O5keYWrS0GQGeFeW+YpQjim2TWVGylInU6QcLGv 1YrIpve3O3y7MiNNRcT6DgnoHmvGyLOM70ql3f9QQabiUB29VJooipo0KrhfhqTZ fsKq7kQP20Jk3AqNGzRTwzQGHoH1X699m0myM2mey6w8rdh8K7E2Prc6qI4B8nTP 3/iDQ5teoC4LmBXWznfUP6ZsSr8Bd+E6VtHBNi5atSmTGqd0za14C+soseekBejs WY4lBk010kg0HOkeYmqKTn74wEcWyQ6vkQH0mazlAjryuqV3P4vKguyIvzwbM1/6 7TM2EcYcpyM1vZDN4LS1YsbDSYp0pS7BpGj3coeY8/vW7/S1tMnsz9hHqSmjtdBg Ji65qDVoT7fdFOCQC8EUTj8NQSbnBzItdJrqgusTh1x87SvIMIvgZEyHZNFNU9QC LaJfodkxgcZulAxD0aUvPKPh2WO53aGbJlXSYTsSuS3YMP2YiKL/kpNY91m/BJqk FH2F3G9bpVF0imkYQd/t0UZesKZRQqgc3fd9FCvKU40MBrZqAfm7HgI9RW8PgBmA K87GZS3CQMbobmc8cYFNX/pPzZZePU6WD4ewPwYqp+wEOIe/tzTagt/a2mHSwSyF BleePf0W1CNpMGY6pzmlx2mF3BrwwElybe4UBjBv+amTRtPAJwIDAQABo2YwZDAT BgkrBgEEAYI3FAIEBh4EAEMAQTALBgNVHQ8EBAMCAUYwDwYDVR0TAQH/BAUwAwEB /zAdBgNVHQ4EFgQU9mdA6Hh+6cc7OloD8vEg7FtR3tMwEAYJKwYBBAGCNxUBBAMC AQAwDQYJKoZIhvcNAQENBQADggIBAE+FuVR6HteZLK8IigGxunGsjUYL/oQktPvh 9l+eTmm9l/hYMp8LlEGzaz9ZaIdMzQfMYMaFupHGH/qHg6LCtHbCouAGenqoN6QP dabhmix5TldL76s30a2+AWzEF3r2g5GRUrqWoqnpMnaGVMNNCr/1X4M0YYpNLwn8 y5bE+Gl30/yjYITio+TEo04U9HMM60H6M7qObxrUp8g0krmtwi6ODsIdr5ltF8cp dopjqzLsOyNXuMh3zxJI+WPH79/s9M9Z2NvHMUKI+rl+8ZtBBbQSuCHSJ2omilNJ JGbXltl1LM6G14Y/QAbVtHud/FCC93f98xseyTjlwnMD4r5wfZgq0oid0kDI6ION /iIVHAYtOsJ4hJN6tj32TOkDx8de+2/69WpZlE75PvTC0MBVE4alfDH7AOV/nKD7 /JuOzTrcUlZcBJ3zXYmvlR4+cZUZBzms1eeAWNymaoSb8Ld8KNPV0lsONMx2HV0M mkZF2/rmxzbiLIsFE8So7/Pk1Neflq1O0xskMvjKWnqIEyH1qLUyRWOnYYial1n3 26VQSCVctIfrNpIw0i6IMBRUgBq10MWbIFvwzceg3KVjka8WAER9dy8e8chkZJA1 iyRwTnEQQp1aCcBu59TfH02PFEce7aBRV9zj5NS9W28RSsuPKdU6CwamTPN121Gk KpzZ22xE -----END CERTIFICATE-----