VMware Mirage – Sécurisation des connexions
VMware Mirage – Sécurisation des connexions
Dans une architecture VDI, il est important d’apporter un minimum de sécurité, ne serait-ce qu’au travers de la connexion client-serveur, au sein de l’entreprise, et qui peut aussi bien être une connexion LAN, qu’une connexion WAN.
Pour cela, nous allons voir comment définir les paramètres de sécurité de base dans une infrastructure VMware Mirage, à l’aide de certificat SSL et des rôles de groupes et utilisateurs.
Tout d’abord, nous allons expliquer la mise en place d’une autorité de certification, afin de chiffrer les connexions client-serveur sous VMware Mirage.
Pour cela, connectez-vous à votre serveur Mirage, ou à votre serveur de certificat si vous en disposez déjà dans votre infrastructure.
Dans le gestionnaire de serveurs Windows, faites un clique droit sur Rôles puis cliquez sur Ajouter des rôles
Sélectionnez Services de certificats Active Directory. Cliquez sur Suivant
Laissez cette option cochée par défaut, et cliquez sur Suivant.
Sélectionnez Autonome, pour un serveur de type standalone, ou Enterprise si vous devez utiliser les enregistrements Active Directory. Cliquez sur Suivant
Laissez cette valeur par défaut, s’il s’agit de votre première autorité de certification, et cliquez sur Suivant
Laissez l’option sélectionnée, et cliquez sur Suivant
Laissez le chiffrement par défaut, et cliquez sur Suivant
Vérifiez que les paramètres de votre serveur, cliquez sur Suivant
Par défaut, le certificat est valable 5 ans, mais vous pouvez modifier ce paramètre. Cliquez sur Suivant
Laissez par défaut, et cliquez sur Suivant
Passez en revue les options choisies, puis cliquez sur Installer
Attendre la fin de l’installation, puis cliquez sur Fermer
Ouvrez une console MMC (tapez « mmc » dans le menu démarrer de votre serveur), puis cliquez sur Fichier puis Ajouter/Supprimer une composant logiciel enfichable
Sélectionnez Certificats, puis cliquez sur Ajouter, puis OK.
Sélectionnez Un compte d’ordinateur, puis Suivant.
Laissez sélectionnée l’option L’ordinateur local, puis cliquez sur Terminer
Fermez la boite de dialogue, puis sur la console MMC, cliquez sur Personnel/Toutes les tâches/Opérations avancées/Créer une demande personnalisée
Cliquez sur Suivant.
Passez cette étape, et cliquez sur Suivant
Dans la liste de modèle, sélectionnez Serveur Web, qui est le modèle le plus approprié. Laissez le format de la demande par défaut, et cliquez sur Suivant
Cliquez sur la petite flèche Détails
Cliquez sur Propriété
Dans le champs Valeur, entrez le nom FQDN de votre serveur, et cliquez sur Ajouter
De même dans l’onglet Général, entrez le nom FQDN de votre serveur, et une description (facultatif)
Dans l’onglet Extensions, déployez en cliquant sur la petite flèche, et dans la partie de droite, supprimez les deux éléments en les sélectionnant puis en cliquant sur < Supprimer.
Dans la partie gauche, sélectionnez Chiffrement des données, puis cliquez sur Ajouter >
Déployez Utilisation de la clé étendue, afin de vérifier que l’authentification du serveur figure bien dans les Expressions Sélectionnées
Dans l’onglet Clé privée, vérifiez que la case Microsoft RSA est bien sélectionnée, et décochez la case Microsoft DH. Cliquez ensuite sur Appliquer puis OK
Cliquez sur Suivant
Cliquez sur Parcourir, et enregistrez votre fichier. Ce fichier possède une extension en .req
Cliquez sur Terminer tout en conservant le format de fichier par défaut Base 64.
Sur le gestionnaire de serveur, faites un clique droit sur votre serveur, puis sélectionnez Toutes les tâches/Soumettre une nouvelle demande.
Parcourrez votre serveur, afin de récupérer le fichier .req précédemment créé.
Dans les demande en attente, vous devez vous retrouver avec le certificat en attente. Faites un clique droit dessus, puis sélectionnez Toutes les tâches/Délivrer.
Le certificat disparait, et se trouvera dans Certificats délivrés. Faire un double clique sur le certificat.
Dans l’onglet Détails, cliquez sur Copier dans un fichier, afin d’exporter ce certificat et de l’installer sur votre serveur Mirage.
Au message de bienvenue, cliquez sur Suivant
Cliquez sur Parcourir afin de sélectionner l'emplacement ou sera exporté le certificat. Le fichier créé aura une extension en .cer
Cliquez sur Suivant
Cliquez sur Terminer, et fermez toutes les boites de dialogue.
Dans la console MMC, faites un clique droit, puis sélectionnez Toutes les tâches/Importer
A l’écran de bienvenue, cliquez sur Suivant, puis cliquez sur Parcourir, afin de récupérer votre fichier de certificat précédemment enregistré et possédant une extension en .cer
Cliquez sur Suivant
Cliquez ensuite sur Terminer
Dans Personnel/Certificats, vous devriez avoir votre certificat.
Voilà, nous allons pouvoir chiffrer les communications entre le serveur et les client VMware Mirage avec une authentification SSL. Rendez-vous à présent sur votre console VMware Mirage, puis dans System Configuration/Servers, faire un clique droit sur votre serveur, puis sélectionnez Configure.
Sélectionnez le type de transport SSL, ainsi que le nom du serveur qui délivre le certificat. Cliquez ensuite sur OK.
A partir de ce moment là, tous les postes clients, utiliseront une connexion chiffrée et sécurisée avec le serveur VMware Mirage grâce au le protocole SSL.
Attention :
Si vous aviez déjà installé des clients mirage sans avoir mis en place cette option de sécurité SSL, vous serez dans l’obligation de réinstaller le package MSI.
L’article suivant traitera des rôles et des groupes utilisateurs.