Créer un certificat SSL

Le serveur IBM RPA requiert un certificat SSL contenant une clé RSA. Le certificat est utilisé pour signer la connexion HTTPS entre le serveur et le client.

Vous devez émettre le certificat sur le même serveur et sur le même port que ceux sur lesquels vous installez et configurez la plateforme IBM RPA . Pour cela, vous pouvez utiliser un certificat autosigné ou un certificat signé par une autorité de certification🡥 (CA).

Les certificats autosignés ou non sécurisés peuvent entraîner l'affichage d'un message "Non digne de confiance" dans votre navigateur. Ajoutez les URL liées à IBM RPAaux exceptions du navigateur. Pour plus d'informations, voir Browser Affiche une erreur de connexion non sécurisée🡥 pour Google Chrome et Que signifient les codes d'avertissement de sécurité?🡥 pour Mozilla Firefox.

❕ Important: Certains navigateurs peuvent renvoyer l'erreur ERR_CERT_COMMON_NAME_INVALID car ils ne correspondent pas au nom usuel dans les certificats. Dans ce cas, générez le certificat auto-signé avec un autre nom d'objet (SAN). Pour plus d'informations, voir ERR_CERT_COMMON_NAME_INVALID lorsque vous accédez à IBM RPA Control Center ou à d'autres URL connexes.

Avant de commencer

  • Vérifiez que vous respectez toutes les exigences en matière de matériel, de système et de réseau décrites dans Conditions requises pour l'installation du serveur.
  • Les certificats signés par une autorité de certification nécessitent un nom de domaine. Vous pouvez enregistrer un domaine dans IBM® Cloud®🡥ou dans tout autre service d'enregistrement de domaine.

A propos de cette tâche

Les procédures suivantes vous montrent comment générer un certificat SSL pour le serveur IBM RPA . Si votre organisation possède déjà un certificat SSL, ignorez cette étape et, lors de l'installation, sélectionnez le certificat de votre organisation. Sinon, choisissez l'une des méthodes suivantes pour générer un certificat:

  • Générer un certificat autosigné
    Recommandé pour les environnements de test et dans les cas où vous devez configurer le serveur en attendant un certificat signé par une autorité de certification.

  • Créez un certificat signé par une autorité de certification
    Si vous prévoyez de déployer votre serveur dans un cloud ou une infrastructure publique, vous devez utiliser un certificat signé par une autorité de certification. Cette procédure explique comment créer une demande de signature de certificat (CSR) à soumettre à une autorité de certification. Vous devez contacter votre autorité de certification de votre choix pour soumettre votre demande de signature de certificat.

Procédure

Générer un certificat autosigné

Vous pouvez générer un certificat autosigné avec OpenSSL ou avec le gestionnaire IIS (Internet Information Services).

  1. OpenSSL
  2. Gestionnaire IIS (Internet Information Services)

OpenSSL

  1. Téléchargez et installez OpenSSL 🡥.

  2. Une fois installé, exécutez l'invite de commande OpenSSL. Entrez openssl pour démarrer l'application.

    OpenSSL dans l'invite de commande

  3. Pour générer une nouvelle clé privée RSA, entrez la commande suivante:

    genrsa -out {path_to_pem_file} 2048
    

    {path_to_pem_file} est le chemin d'accès absolu où le fichier PEM sera généré. Exemple : C:\Users\user\keyfile.pem.

  4. Pour générer une clé publique, entrez la commande suivante:

    rsa -pubout -in {path_private_pem} -out (path_public_pem)
    

    Où :

    {path_private_pem} est le chemin d'accès au fichier PEM de clé privée. Exemple : C:\Users\user\privatekeyfile.pem.

    (path_public_pem) est le chemin d'accès à la clé publique qui sera générée. Exemple : C:\Users\user\keyfile.pem.

  5. Exécutez la commande suivante :

    req -x509 -sha256 -newkey rsa:2048 -keyout keyname.key -out certificatename.  crt -days 365
    

    keyname.key est le fichier de clés généré et certificatename.crt est le fichier certificat généré.

    Cette commande crée une clé RSA de 2048 bits, suivant la norme X.509, avec un hachage SHA256 valide pendant 365 jours.

    Vous devez ajouter un mot de passe pour protéger le fichier de clés.

    OpenSSL génération d'une clé

  6. L'application demande alors des informations spécifiques concernant l'autorité de certification qui signe le certificat :

    Génération de certificat

  7. Fournissez les informations requises, puis appuyez sur Entrée pour terminer.

  8. Entrez ensuite la commande suivante:

    pkcs12 -export -in C:\path\to\certificatename.crt -inkey C:\path\to\keyname.key -out C:\path\to\newpkcs12.pfx
    

    C:\path\to\certificatename.crt est le chemin d'accès au fichier de certificat, C:\path\to\keyname.key est le chemin d'accès au fichier de clés privées, et C:\path\to\newpkcs12.pfx est le chemin d'accès au fichier PKCS#12 que vous souhaitez créer.

  9. Installez le certificat dans le magasin de certificats Windows™.

Gestionnaire IIS (Internet Information Services)

  1. Ouvrez le menu Démarrer de Windows, recherchez Internet Information Services (IIS) Manager et ouvrez-le.

  2. Dans le menu de gauche Connexions , sélectionnez votre instance de serveur.

    Ecran principal IIS

  3. Sous la catégorie IIS , cliquez sur Certificats de serveur.

    Ecran Certificats de serveur IIS

  4. Dans Actions, dans le menu de droite, cliquez sur Créer un certificat autosigné.

  5. Entrez un nom pour votre certificat et sélectionnez le type Personnel.

    Création d'un certificat auto-signé

  6. Cliquez sur Ok pour créer votre certificat.

Créer un certificat signé par une autorité de certification

Pour acquérir et installer un certificat SSL signé par une autorité de certification, vous devez posséder un nom de domaine complet.

Vous pouvez utiliser OpenSSL pour générer une demande de signature de certificat (CSR) à soumettre à une autorité de certification. L'autorité de certification peut vous signer un certificat et vous fournir un certificat SSL valide.

  1. Téléchargez et installez OpenSSL🡥.

  2. Générez une demande de signature de certificat pour votre serveur.

    openssl req -newkey rsa:2048 -nodes -keyout keyname.key -out request.csr -subj   "/C=<COUNTRY>/ST=<STATE>/L=<CITY>/O=<ORGANIZATION> Corporation/CN=<HOSTNAME>"
    

    Où :

    • <COUNTRY>
      Nom du pays dans lequel se trouve votre organisation.
    • <STATE>
      Etat dans lequel se trouve votre organisation.
    • <CITY>
      Ville de votre organisation.
    • <ORGANIZATION>
      Nom de votre organisation
    • <HOSTNAME>
      Nom de domaine complet de votre organisation.
  3. Vérifiez le contenu de la demande de signature de certificat générée.

    openssl req -text -noout -verify -in request.csr
    
  4. Une fois la demande de signature de certificat créée, soumettez-la à votre autorité de certification.