Utiliser ses propres certificats avec Ubuntu Landscape
Divulgâchage : Ubuntu Landscape est un outil très pratique pour maintenir à jour son parc de machines Ubuntu. Mais qu’il utilise nos certificats plutôt que ses auto-signés, ça serait mieux. On va donc téléverser les certificats sur le serveur, puis modifier les fichiers de configuration pour qu’ils soient pris en compte.
Nous avons vu comment installer et configurer Ubuntu Landscape. Depuis, nous sommes averti quotidiennement de l’état des machines et des mises à jours nécessaires et ces opérations ne prennent plus qu’un clic de souris, c’est autant de temps de gagné :smile:.
Mais l’installation de base utilise un certificat auto-signé généré lors de l’installation. Nos navigateur nous posent donc des questions pour accepter de s’y connecter, et comme ils oublient tout dès qu’on les ferme, ça recommence à chaque fois. C’est autant de temps de perdu 😢.
Alors comme on aime bien trifouiller dans les entrailles, et prétendre avoir hacké le système, en remplaçant les certificats par les nôtres, on vous fait partager nos trouvailles. Parce qu’on est comme ça.
Téléverser son certificat
Comme vous êtes des pros de la création de certificats, je part
du principe que vous avez déjà vos deux fichiers disponibles (la clé
dans landscape.pem
, le certificat dans
landscape.crt
et votre autorité dans
ca.crt
).
Comme l’interface ne permet pas ce type de manipulation, on va
transférer les fichiers via ssh
et le compte que vous aviez
utilisé lors de l’installation. Ces
fichiers doivent être copiés aux emplacements suivants :
- La clé : serait à sa place dans
/etc/ssl/private/
, - Les certificats : se sentiront mieux dans
/etc/ss/certs/
.
Modification de la configuration
Landscape utilise
apache2 sur sa base Ubuntu, les fichiers de configuration se
trouvent donc dans
/etc/apache2/site-available/landscape.conf
. Que nous allons
donc modifier.
Pour y renseigner nos propres fichiers, nous allons modifier les
directives SSL
pour qu’elles utilisent nos fichiers comme
suit :
SSLCertificateKeyFile /etc/ssl/private/landscape.pem
SSLCertificateFile /etc/ssl/certs/landscape.crt
SSLCertificateChainFile /etc/ssl/certs/ca.crt
Enfin relancer apache.
sudo service apache2 restart
Et après ?
On peut accéder à l’interface d’administration en HTTPs, sans que le navigateur nous râle dessus pour des questions de certificats. L’authenticité de la connexion est maintenant certifiée par le navigateur.