Nope... - Comment installer un nouveau certificat sur un Bastion Wallix.

Thu 16 Apr 2020

Catégories:
SSL

Comment installer un nouveau certificat sur un Bastion Wallix.

L’operation se fait en deux partie :

- La partie Certificat pour le rdp

- La partie certificat pour l interface https

Il faut tout d’abord se connecter sur le bastion et y transférer la clef. Dans le cas suivant la clef a été générée sur un serveur windows et extraite au format pfx, avec la clef privée et protégé par mot de passe. Il faut se connecter sur le bastion en SSH via le port 2242, le port 22 etant utilise par le proxy ssh

Cette étape peut être bypassée si on a la clef et le certificat dans des fichiers séparés Attention toutefois de bien s’assurer que le certifcat embarque bien non seulement celui du serveur bien ceux de la CA et SUB-CA.

On extrait la clef privée et le certificat du fichier pfx

openssl pkcs12 -in NOM-FICHER.pfx -nocerts -out NOM-CLEF-priv.pem -nodes 
Enter Import Password: <SAISIR LE MDP DE LA CLEF>
MAC verified OK

openssl pkcs12 -in NOM-FICHER.pfx -nokeys -out NOM-CERTIFICAT.pem 
Enter Import Password: <SAISIR LE MDP DE LA CLEF>
MAC verified OK

La partie renouvellement du certificat pour le service RDP

rdpcert --key --inkey=NOM-CLEF-priv.pem --x509 --inx509=SHL50019.pem -force 
Setting RDP proxy server 
user defined private key 
writing RSA key Setting x509

On redémarre le wabcore

/etc/init.d/wabcore restart 
[ ok ] Restarting wabcore (via systemctl): wabcore.service.

ATTENTION: Les tentatives de connexions au bastion en RDP vont tomber en erreur avec des messages de certifcat défectueux ou dépassé. Il faut relancer la connexion.

La partie renouvellement du certificat pour La partie GUI https

On sauvegarde, ou pas les ancien fichiers certificat et clef privee

cd /var/wab/apache2/ssl.crt/ 
mv server.key server.key.OLD
mv server.pem server.pem.OLD

On met en place les nouveaux:

cp /home/wabadmin/NOM-CERTIFICAT.pem server.pem 
cp /home/wabadmin/NOM-CLEF-priv.pem server.key

On change l utilisateur et le groupe

chown wabadmin:wabadmin server.key server.pem

On change les droits sur les fichiers :

chmod 644 server.key server.pem

On redemarre le wabgui

/etc/init.d/wabgui restart 
[ ok ] Restarting wabcore (via systemctl): wabcore.service.

Pour controler le succés de l’opération il suffit de recharger la page HTML et de vérifier à gauche de l’adresse le certificat. Il doit apparaitre avec sa nouvelle date.