Communication SSL
Références de chapitre
Le cryptage des données est un aspect important de la communication d'aujourd'hui qui se déroule sur les réseaux publics (Internet). Aujourd'hui, les données non cryptées peuvent facilement être lues ou modifiées par des tiers. Secure Socket Layer (SSL) est l'un des protocoles les plus utilisés pour assurer la transmission sécurisée des données sur Internet. Une connexion SSL garantit, que vos données sont transmises de manière sécurisée et inaltérée via Internet. Comme une connexion SSL utilise deux techniques de cryptage différentes, cela nécessite l'utilisation de certificats. Un certificat est une carte d’identité électronique qui confirme l’identité d’un ordinateur ou d'une personne. Une autorité de certification (CA) est utilisée à cette fin. Il s’agit d’une organisation digne de confiance telle que SwissSign. Cependant, une organisation digne de confiance peut être le fabricant d'un progiciel tel que Topal Solutions SA. Dans ce cas, Topal Solutions SA émettra des Certificats auto-signés (Self Signed Certificates), qui seront délivrés directement aux clients.
Pour établir une connexion SSL, une autorité de certification (CA) doit fournir plusieurs éléments: une clé publique, une clé privée et un certificat.
L'autorité de certification (AC) fournit les clés publiques et privées. Le certificat peut être installé immédiatement ou ultérieurement. Un certificat contenant le nom du serveur et la clé publique (Public Key) est également installé sur le serveur. Le certificat du serveur est signé avec la clé privée (Private Key). Ainsi, la carte d'identité électronique est infalsifiable.
Pour établir une connexion sécurisée, le client et le serveur doivent échanger diverses informations. Le client envoie un client hello (message non crypté) au serveur avec la volonté d'établir une connexion. Le serveur répond par un serveur hello et envoie son certificat au client. Le client vérifie le certificat du serveur avec la clé publique de l'AC, qui est installée sur votre ordinateur. Ainsi, vous pouvez être sûr que c'est le bon serveur. Maintenant, le client crée une clé de session (Session Key), l'encrypte avec la clé publique du serveur et l'envoie au serveur. Le serveur peut maintenant déchiffrer la clé de session chiffrée et symétrique (Master Key) avec sa clé privée. Avec les deux clés de session symétriques, le client et le serveur peuvent maintenant envoyer des messages chiffrés.
Topal Solutions SA dispose d'un Self Signed Certificate (certificat auto signé) qui est intégré lors de l'installation de Topal Comptabilité Financière. Si un certificat SSC ne vous convient pas, un certificat racine (root certificate), spécifique à votre entreprise peut être demandé directement auprès de SwissSign. Dans ce cas, les certificats root, serveur et utilisateur sont émis et gérés directement par vous.
Si vous utilisez votre propre certificat racine (root) créé par SwissSign pour votre entreprise (avec le nom de votre entreprise), vous pouvez demander des certificats de serveur et d'utilisateur pour les collaborateurs internes et les clients via le MangedPKI Service chez SwissSign. L'installation des certificats SwissSign s'effectue de la même manière que les certificats créés par Topal.
Topal Solutions SA délivrera un certificat de serveur, basé sur le certificat racine (CA) Topal Solutions, selon vos souhaits. Pour cela, il est nécessaire que vous contactiez Topal pour clarifier les détails nécessaires.
Comme déjà mentionné, il y a la possibilité d'utiliser des certificats personnalisés auto-signés racine, serveur et utilisateur. La création des certificats correspondants peut être réalisée avec l'outil Topal fourni. Comment créer des certificats auto-signés est expliqué dans les chapitres suivants :
Topal Solution AG offre le service de création de certificats pour votre entreprise. Les demandes de renseignements doivent être adressées à Topal Solutions AG, Grabenwisstrasse 3, CH-8604 Volketswil, + 41 (62) 915'87'00, ou par courriel à: info@topal.ch.
Comme mentionné ci-dessus, il est possible d'utiliser ou d'émettre des certificats auto-signés. Ceci peut être réalisé avec l'outil MakeCert fourni par Topal.
L'outil inclus pour créer des certificats auto-signés utilise les services fournis par Windows. L'outil est réalisé avec un fichier batch. Pour créer des certificats, procédez comme suit:
1. Exécutez le fichier TopalCertificate.bat. La boîte de dialogue Windows liste les 3 différents types de certificats.
· 0 - CA: utilisé pour créer un certificat racine (root)
· 1 - Client (Utilisateur): utilisé pour créer des certificats d'utilisateur
· 2 - Serveur: utilisé pour créer des certificats de serveur
2. Sélectionnez 0 pour CA (Autorité de certification), ainsi que le nom de votre société (Exemple : Fiduciaire Marterey CA) et le mot de passe (Figure 1) :
Figure 1 : Émission d'un certificat racine auto-signé - Autorité de certification, nom de l'entreprise et saisit du mot de passe
3. Une fois les entrées effectuées, le système demande les mots de passe pour le cryptage et la vérification (Figure 2) :
 |
 |
 |
|
Figure 2 : Emission d'un certificat racine auto-signé - Entrez le mot de passe de la clé privée
|
Clé : publisher = étape suppl.pour certificat type (2: Server)
| |
Une fois cette étape terminée, le certificat est généré et installé directement dans le gestionnaire de certificats (Certificate Store) sur votre ordinateur.
Dans Topal, il est possible de configurer plusieurs instances de serveur (schémas de base de données). Chacune de ces instances (Figure 3) doit être administrée séparément. Par conséquent, vous pouvez créer un certificat de serveur distinct pour chacune de vos instances et l'associer à l'instance.
Figure 3 : Émission de certificats de serveur pour une ou plusieurs instances Topal - Instances de serveur
Un certificat de serveur est créé de la même manière qu'un certificat racine. Seul le type de certificat (2: Serveur) doit être utilisé. Une exception est qu'après avoir entré le mot de passe du serveur, une boîte de dialogue de saisie supplémentaire (Figure 2 - publisher) apparaît dans laquelle vous devez entrer le mot de passe du fabricant du certificat racine afin d'établir le lien entre le certificat racine et le certificat du serveur.
Figure 4 : Importation de certificats de serveur pour une ou plusieurs instances Topal - entrée du mot de passe du certificat de serveur
La création de certificats d'utilisateur se fait de la même manière que la création d'un certificat racine. Seul le type de certificat (1: Utilisateur) doit être utilisé.