Utilisation de la couche de transport sécurisée (HTTPS)

Cloud_Business.png

Protéger le trafic entrant sur le Déclencheur du Serveur HTTP et sur le Déclencheur du Service Web en activant le support HTTPS. HTTPS sécurise la transmission des messages échangés sur le réseau. La sécurité de communication utilise les certificats X.509 pour encoder les données circulant entre les éléments. Les informations restent confidentielles car seul le client et Loftware Automation peuvent décoder le trafic. Et si un utilisateur effectue une écoute clandestine sur la communication, il ne pourra pas comprendre la signification des messages, car le trafic apparaît comme un flux d'octets aléatoires.

C'est une bonne pratique de sécurité d'encoder la communication dans les cas suivants :

  • En cas de travail avec des données sensibles et confidentielles qui ne doivent pas être vues par des tiers.

  • Quand le message doit traverser des réseaux hors de tout contrôle. Par exemple, cela arrive quand l'envoi des données à Automation se fait par internet, et pas dans le réseau local.

Activer la couche de transport sécurisée (HTTPS)

Pour activer la couche de transport sécurisée pour votre déclencheur, procéder comme suit.

Dans le système Windows :

  1. Récupérer le certificat X.509 de l'éditeur de certificats digitaux (autorité de certificats - CA). Il faut un type de certificat pour 'authentification serveur'.

    Note

    Si vous générez vous-même le certificat, il faut importer le certificat CA dans le magasin de l'Autorité de Confiance, pour que la signature CA puisse être vérifiée avec le certificat du serveur.

  2. Installer le certificat X.509 dans le système, sur lequel Loftware Automation est installé. Il faut que le certificat soit visible par le compte utilisateur sous lequel fonctionne le service Loftware Automation. La bonne pratique consiste à installer le certificat dans le magasin de l'ordinateur local, pas dans le magasin de l'utilisateur actuel. Cela va permettre à Loftware Automation d'utiliser le certificat, même s'il ne fonctionne pas avec le compte utilisateur connecté.

    1. Ouvrir une fenêtre d'invite de commande.

    2. Saisir mmc et appuyer sur la touche ENTER (assurez-vous de l'exécuter avec les droits d'administrateur).

    3. Dans le menu Fichier, cliquer sur Ajouter/Supprimer un composant logiciel enfichable .

    4. Dans la boîte de dialogue Ajouter un composant logiciel enfichable autonome , sélectionner Certificats.

    5. Cliquer sur Ajouter.

    6. Dans la boîte de dialogue Composant logiciel enfichable Certificats , sélectionner Compte d'ordinateur et cliquer sur Suivant.

    7. Dans la boîte de dialogue Sélectionner l'ordinateur, cliquer sur Terminer.

    8. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquer sur OK.

    9. Dans la fenêtre racine de la console, agrandir Certificats>Personnel.

    10. Cliquer à droite sur le dossier Certificats et sélectionner Toutes les tâches>Importer.

    11. Suivre les instructions pour importer le certificat.

  3. Extraire l'empreinte d'un certificat que vous venez d'importer.

    1. Toujours dans MMC, double-cliquer sur le certificat.

    2. Dans la boîte de dialogue Certificat, cliquer sur l'onglet Détails.

    3. Dans la liste de champs, rechercher et cliquer sur Empreinte numérique.

    4. Copier les caractères hexadécimaux du champ. Enlever les espaces entre les nombres hexadécimaux. Par exemple, l'empreinte a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b doit être spécifiée comme a909502dd82ae41433e6f83886b00d4277a32a7b dans le code. C'est le certhash requis à l'étape suivante.

  4. Lier le certificat à l'adresse IP et au port sur lequel le déclencheur fonctionne. Cette action active le certificat sur le numéro de port sélectionné.

    Ouvrir l'Invite de Commande (Il faut l'utiliser avec les droits d'administrateur) et lancer la commande suivante :

    netsh http add sslcert ipport=0.0.0.0:56000 certhash=7866c25377554ca0cb53bcdfd5ee23ce895bdfa2 appid={A6BF8805-1D22-42C2-9D74-3366EA463245}

    où :

    • ipport est la paire adresse IP-port, sur laquelle le déclencheur fonctionne. Laisser l'adresse IP à 0.0.0.0 (ordinateur local), mais changer le numéro de port pour qu'il corresponde au numéro de port dans la configuration du déclencheur.

    • certhash est l'empreinte (SHA hash) du certificat. C'est une chaîne hexadécimale d'une longueur de 20 octets.

    • appid est le GUID de l'application propriétaire. Tous les GUID sont utilisables, même celui de l'exemple ci-dessus.

Dans la configuration du déclencheur :

  1. Dans le déclencheur HTTP ou Web Service, activer l'option Connexion Sécurisée (HTTPS).

  2. Recharger la configuration dans Automation Manager.

Désactiver la couche de transport sécurisée (HTTPS)

Dans le système Windows :

  • Délier le certificat de la paire Adresse IP-port. Lancer la commande suivante dans l'Invite de Commande (Il faut l'utiliser avec les droits d'administrateur) :

    netsh http delete sslcert ipport=0.0.0.0:56000

    où :

    • ipport est la paire adresse IP-port, sur laquelle le déclencheur fonctionne et à laquelle est lié le certificat.

Dans la configuration du déclencheur :

  1. Dans le déclencheur HTTP ou Web Service, désactiver l'option Connexion Sécurisée (HTTPS).

  2. Recharger la configuration dans Automation Manager.