Passer au contenu

Certificat HTTPS gratuit et facile à installer

Aperçu

À partir de la version 9.20, Terminal Service Plus propose une fonctionnalité facile à utiliser pour générer un certificat HTTPS gratuit et valide.

En 3 clics de souris, vous obtiendrez un certificat valide sécurisé, renouvelé automatiquement et configuré automatiquement dans le serveur web intégré de Terminal Service Plus.

Cette fonctionnalité utilise Let’s Encrypt fournir un certificat HTTPS gratuit et sécurisé pour vos connexions HTTPS.

Prérequis

Veuillez vous assurer que votre serveur Terminal Service Plus répond à ces exigences avant d'utiliser le Gestionnaire de certificats gratuit :

  • Vous devez utiliser le serveur web intégré de Terminal Service Plus écoutant sur le port 80 pour HTTP Ceci est requis par le processus de validation de propriété de domaine de Let’s Encrypt.

  • Votre le nom de domaine du serveur doit être accessible de l'Internet public. Cela est également nécessaire pour valider que vous êtes le véritable propriétaire du domaine.

  • Vous devez exécutez ce programme sur le serveur Gateway ou un serveur autonome, pas un serveur d'application (sauf si votre serveur d'application est accessible depuis Internet public et a un nom de domaine public).

Il n'est pas possible d'obtenir un certificat pour une adresse IP, qu'elle soit publique ou privée. Il n'est pas possible d'obtenir un certificat pour un nom de domaine interne (c'est-à-dire un domaine qui ne se résout qu'à l'intérieur de votre réseau privé).

Gestionnaire de certificats gratuit GUI

Pour ouvrir l'interface graphique du gestionnaire de certificats gratuits de Terminal Service Plus, ouvrez l'outil d'administration de Terminal Service Plus, cliquez sur l'onglet « Web - HTTPS », puis cliquez sur « Générer un certificat HTTPS valide gratuit » comme indiqué dans la capture d'écran ci-dessous :

Screenshot 1

Le gestionnaire de certificats gratuit GUI s'ouvrira et vous rappellera les prérequis, comme indiqué dans la capture d'écran ci-dessous :

Screenshot 1

Veuillez lire attentivement et vérifier que votre serveur répond à toutes les exigences, puis cliquez sur le bouton « Ok ».

Étape 1 : Entrez votre e-mail

Cet e-mail ne sera pas utilisé pour vous spammer. En fait, il ne sera même pas envoyé à TSplus ou à un tiers, sauf à l'émetteur du certificat : Let’s Encrypt.

Ils ne vous contacteront que si nécessaire, conformément à leurs Conditions de Service.

Étape 2 : Entrez le nom de domaine du serveur

Ceci est le nom de domaine accessible au public sur Internet, quelque chose comme gateway.votre-entreprise.com. Vous pouvez également ajouter un autre nom de domaine ou un nom de sous-domaine après avoir cliqué sur le bouton ”+”.

Comme expliqué dans l'interface graphique, n'ajoutez pas de préfixe de protocole et/ou de suffixe de port, entrez simplement le(s) nom(s) de domaine propre(s).

Le certificat sera généré pour ce nom de domaine, et il ne sera valide que sur une page web hébergée à ce nom de domaine. Si vos utilisateurs se connectent à votre Web Portal en utilisant https://server1.example.com:1234 alors, vous devez entrer "server1.example.com".

Étape 3 : Choisissez un algorithme de clé

Il sera utilisé pour créer des paires de clés et effectuer des opérations de signature numérique.

Screenshot 4

Profitez de votre certificat !

Screenshot 5

Le gestionnaire de certificats gratuit de Terminal Service Plus utilisera désormais toutes les données pour se connecter à Let's Encrypt, valider que vous possédez réellement le nom de domaine que vous avez saisi et obtenir le certificat valide correspondant.

Une fois que le programme reçoit le certificat, il gérera automatiquement toutes les conversions de format de fichier requises et rechargera doucement le serveur web intégré de Terminal Service Plus afin d'appliquer le nouveau certificat à chaque nouvelle connexion. Le serveur web est non redémarré et aucune connexion n'est arrêtée.

Renouvellement de certificat

Les certificats Let's Encrypt sont valides pendant 90 jours.

Terminal Service Plus renouvellera automatiquement le certificat tous les 60 jours pour des raisons de sécurité. Un contrôle est effectué à chaque redémarrage du serveur Windows, puis toutes les 24 heures.

Vous pouvez renouveler manuellement votre certificat en ouvrant l'outil Gestionnaire de certificats gratuit. Il affichera le nom de domaine du certificat et sa date d'expiration, comme indiqué dans la capture d'écran ci-dessous.

Screenshot 7

Pour renouveler manuellement votre certificat, il vous suffit de cliquer sur le bouton « Suivant ».

Le bouton « Réinitialiser le domaine » sur cette fenêtre supprime le certificat SSL et reconfigure le serveur Web à son état d'origine avant d'utiliser le gestionnaire de certificats.

Meilleures pratiques

Si aucune erreur ne se produit, Terminal Service Plus renouvellera automatiquement le certificat tous les 60 jours. Nous vous recommandons de vérifiez tous les 60 à 70 jours que votre certificat a été renouvelé automatiquement.

Nous vous recommandons également de sauvegarder au moins une fois par mois le dossier suivant et ses sous-dossiers :

C:\Program Files (x86)\TSplus\UserDesktop\files.lego

Ceci est un dossier interne, contenant votre clé privée de compte Let’s Encrypt, ainsi que la paire de clés de votre certificat.

Dépannage

En cas d'erreur veuillez contacter le support et leur envoyer le fichier journal suivant :

C:\Program Files (x86)\TSplus\UserDesktop\files.lego\logs\cli.log

Ce fichier journal (et peut-être les autres fichiers journaux dans le même dossier) devrait aider notre équipe de support à enquêter et à mieux comprendre le problème.

Si vous souhaitez restaurer un certificat utilisé précédemment allez dans le dossier :

C:\Program Files (x86)\TSplus\Clients\webserver

Il contiendra tous les fichiers “cert.jks” utilisés. Ce sont les fichiers “key store” et nous ne les supprimons jamais, nous les renommons uniquement avec la date et l'heure de leur désactivation.

Codes d'erreur

  • Erreur 801 : le gestionnaire de certificats gratuit n'a pas pu enregistrer votre compte Let's Encrypt. Vérifiez votre connexion Internet. Vérifiez que votre adresse e-mail n'est pas déjà enregistrée chez Let's Encrypt. Réessayez avec une autre adresse e-mail.

  • Erreur 802 et Erreur 803 : le Gestionnaire de certificats gratuit n'a pas pu récupérer l'adresse URL des Conditions de service de Let's Encrypt. Il s'agit d'une erreur non bloquante : vous pouvez continuer et accepter les Conditions de service de Let's Encrypt - assurez-vous de les lire d'abord dans votre navigateur, bien sûr.

  • Erreur 804 : le gestionnaire de certificats gratuit n'a pas pu valider votre accord avec les conditions de service de Let's Encrypt auprès des serveurs de Let's Encrypt. Vérifiez votre connexion Internet. Réessayez.

  • Erreur 805 et Erreur 806 : le Gestionnaire de certificats gratuit n'a pas pu valider que vous possédez le domaine que vous avez saisi lors de la création du certificat (Erreur 805) ou du renouvellement du certificat (Erreur 806). Vérifiez à nouveau tous les prérequis. Vérifiez votre connexion Internet. Vérifiez que votre serveur web écoute sur le port 80. Vérifiez que vous n'utilisez pas un serveur web tiers tel qu'IIS ou Apache. Vérifiez que votre nom de domaine est accessible depuis Internet.

Commande de certificat HTTPS

Préparation du fichier de configuration du certificat

À l'intérieur du dossier “C:\Program Files (x86)\TSplus\UserDesktop\files\cert”, créez un fichier nommé “FreeCertificateManager.ini” s'il n'existe pas déjà. Assurez-vous que votre éditeur de texte et/ou l'explorateur de fichiers Windows n'ajoute pas d'extension “.txt” à la fin.

Modifiez le fichier et écrivez ou mettez-le à jour afin qu'il ait le format suivant, puis enregistrez-le :

paramètres

email = [email protected]

domaine = votre-serveur-nom-de-domaine.entreprise.com

Créer le certificat

En tant qu'administrateur de serveur, exécutez la commande suivante :

C:\Program Files (x86)\TSplus\UserDesktop\files\cert\CertificateManager.exe /create

Pour que cette commande soit réussie :

  • Le fichier “FreeCertificateManager.ini” doit exister et utiliser le format attendu
  • Votre serveur TSplus Remote Access doit être opérationnel.
  • Votre portail Web TSplus Remote Access doit être disponible avec le protocole

HTTP sur le port 80 du réseau public Internet, car le fournisseur de certificat HTTPS de TSplus l'utilisera pour valider le nom de domaine du serveur.

Renouveler le certificat

Une fois le certificat configuré et créé, TSplus Remote Access le renouvellera automatiquement tous les deux mois pour s'assurer qu'il n'expire jamais.