Utiliser ses propres certificats avec Ubuntu Landscape

Ubuntu Landscape est un outil très pratique pour maintenir à jour son parc de machines Ubuntu. Mais qu'il utilise nos certificats plutôt que ses auto-signés, ça serait mieux.

Nous avons vu comment installer et configurer Ubuntu Landscape. Depuis, nous sommes averti quotidiennement de l’état des machines et des mises à jours nécessaires et ces opérations ne prennent plus qu’un clic de souris, c’est autant de temps de gagné :smile:.

Mais l'installation de base utilise un certificat auto-signé généré lors de l'installation. Nos navigateur nous posent donc des questions pour accepter de s’y connecter, et comme ils oublient tout dès qu’on les ferme, ça recommence à chaque fois. C’est autant de temps de perdu 😢.

Alors comme on aime bien trifouiller dans les entrailles, et prétendre avoir hacké le système, en remplaçant les certificats par les nôtres, on vous fait partager nos trouvailles. Parce qu’on est comme ça.

KELLEPICS @ pixabay

On va téléverser les certificats sur le serveur, puis modifier les fichiers de configuration pour qu’ils soient pris en compte.

Téléverser son certificat

Comme vous êtes des pros de la création de certificats, je part du principe que vous avez déjà vos deux fichiers disponibles (la clé dans landscape.pem, le certificat dans landscape.crt et votre autorité dans ca.crt).

Comme l’interface ne permet pas ce type de manipulation, on va transférer les fichiers via ssh et le compte que vous aviez utilisé lors de l’installation. Ces fichiers doivent être copiés aux emplacements suivants :

Modification de la configuration

Landscape utilise apache2 sur sa base Ubuntu, les fichiers de configuration se trouvent donc dans /etc/apache2/site-available/landscape.conf. Que nous allons donc modifier.

Pour y renseigner nos propres fichiers, nous allons modifier les directives SSL pour qu’elles utilisent nos fichiers comme suit :

SSLCertificateKeyFile   /etc/ssl/private/landscape.pem
SSLCertificateFile      /etc/ssl/certs/landscape.crt
SSLCertificateChainFile /etc/ssl/certs/ca.crt

Enfin relancer apache.

sudo service apache2 restart

Et après ?

On peut accéder à l’interface d’administration en HTTPs, sans que le navigateur nous râle dessus pour des questions de certificats. L’authenticité de la connexion est maintenant certifiée par le navigateur.