VMware Mirage – Sécurisation des connexions

VMware Mirage – Sécurisation des connexions

10 décembre 2015 0 Par Michael PERES

VMware Mirage – Sécurisation des connexions

Dans une architecture VDI, il est important d'apporter un minimum de sécurité, ne serait-ce qu'au travers de la connexion client-serveur, au sein de l'entreprise, et qui peut aussi bien être une connexion LAN, qu'une connexion WAN.

Capture d’écran 2015-12-08 à 11.20.42

Pour cela, nous allons voir comment définir les paramètres de sécurité de base dans une infrastructure VMware Mirage, à l'aide de certificat SSL et des rôles de groupes et utilisateurs.

Tout d'abord, nous allons expliquer la mise en place d'une autorité de certification, afin de chiffrer les connexions client-serveur sous VMware Mirage.

Pour cela, connectez-vous à votre serveur Mirage, ou à votre serveur de certificat si vous en disposez déjà dans votre infrastructure.

Dans le gestionnaire de serveurs Windows, faites un clique droit sur Rôles puis cliquez sur Ajouter des rôles

Capture d’écran 2015-12-08 à 11.35.12

Sélectionnez Services de certificats Active Directory. Cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.37.46

Laissez cette option cochée par défaut, et cliquez sur Suivant.

Capture d’écran 2015-12-08 à 11.45.19
Sélectionnez Autonome, pour un serveur de type standalone, ou Enterprise si vous devez utiliser les enregistrements Active Directory. Cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.43.46

Laissez cette valeur par défaut, s'il s'agit de votre première autorité de certification, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.47.59

Laissez l'option sélectionnée, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.51.34

Laissez le chiffrement par défaut, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.51.40

Vérifiez que les paramètres de votre serveur, cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.52.52

Par défaut, le certificat est valable 5 ans, mais vous pouvez modifier ce paramètre. Cliquez sur Suivant

Capture d’écran 2015-12-08 à 11.58.04

Laissez par défaut, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 12.00.00

Passez en revue les options choisies, puis cliquez sur Installer

Capture d’écran 2015-12-08 à 12.01.07

Attendre la fin de l'installation, puis cliquez sur Fermer

Capture d’écran 2015-12-08 à 12.02.33

Ouvrez une console MMC (tapez "mmc" dans le menu démarrer de votre serveur), puis cliquez sur Fichier puis Ajouter/Supprimer une composant logiciel enfichable

Capture d’écran 2015-12-08 à 12.04.17

Sélectionnez Certificats, puis cliquez sur Ajouter, puis OK.

Capture d’écran 2015-12-08 à 12.07.30

Sélectionnez Un compte d'ordinateur, puis Suivant.

Capture d’écran 2015-12-08 à 12.09.30

Laissez sélectionnée l'option L'ordinateur local, puis cliquez sur Terminer

Capture d’écran 2015-12-08 à 12.10.48

Fermez la boite de dialogue, puis sur la console MMC, cliquez sur Personnel/Toutes les tâches/Opérations avancées/Créer une demande personnalisée

Capture d’écran 2015-12-08 à 12.15.08

Cliquez sur Suivant.

Capture d’écran 2015-12-08 à 12.18.39

Passez cette étape, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 12.19.47

Dans la liste de modèle, sélectionnez Serveur Web, qui est le modèle le plus approprié. Laissez le format de la demande par défaut, et cliquez sur Suivant

Capture d’écran 2015-12-08 à 12.22.14

Cliquez sur la petite flèche Détails

Capture d’écran 2015-12-08 à 12.24.36

Cliquez sur Propriété

Capture d’écran 2015-12-08 à 12.26.10

Dans le champs Valeur, entrez le nom FQDN de votre serveur, et cliquez sur Ajouter

Capture d’écran 2015-12-08 à 12.27.41

De même dans l'onglet Général, entrez le nom FQDN de votre serveur, et une description (facultatif)

Capture d’écran 2015-12-08 à 12.31.11

Dans l'onglet Extensions, déployez en cliquant sur la petite flèche, et dans la partie de droite, supprimez les deux éléments en les sélectionnant puis en cliquant sur < Supprimer.

Capture d’écran 2015-12-08 à 12.34.44

Dans la partie gauche, sélectionnez Chiffrement des données, puis cliquez sur Ajouter >

Capture d’écran 2015-12-08 à 12.38.07

Déployez Utilisation de la clé étendue, afin de vérifier que l'authentification du serveur figure bien dans les Expressions Sélectionnées

Capture d’écran 2015-12-08 à 12.39.24

Dans l'onglet Clé privée, vérifiez que la case Microsoft RSA est bien sélectionnée, et décochez la case Microsoft DH. Cliquez ensuite sur Appliquer puis OK

Capture d’écran 2015-12-08 à 12.42.07

 

Cliquez sur Suivant

Capture d’écran 2015-12-08 à 12.45.43

Cliquez sur Parcourir, et enregistrez votre fichier. Ce fichier possède une extension en .req

Capture d’écran 2015-12-08 à 12.47.23

Cliquez sur Terminer tout en conservant le format de fichier par défaut Base 64.

Capture d’écran 2015-12-08 à 12.50.11

Sur le gestionnaire de serveur, faites un clique droit sur votre serveur, puis sélectionnez Toutes les tâches/Soumettre une nouvelle demande.

Capture d’écran 2015-12-08 à 12.53.31

 

Parcourrez votre serveur, afin de récupérer le fichier .req précédemment créé.

Capture d’écran 2015-12-08 à 12.56.27

Dans les demande en attente, vous devez vous retrouver avec le certificat en attente. Faites un clique droit dessus, puis sélectionnez Toutes les tâches/Délivrer.

Capture d’écran 2015-12-08 à 16.05.42

Le certificat disparait, et se trouvera dans Certificats délivrés. Faire un double clique sur le certificat.

Capture d’écran 2015-12-08 à 13.01.40

Dans l'onglet Détails, cliquez sur Copier dans un fichier, afin d'exporter ce certificat et de l'installer sur votre serveur Mirage.

Capture d’écran 2015-12-08 à 13.03.29Au message de bienvenue, cliquez sur Suivant

Capture d’écran 2015-12-08 à 13.05.53

Cliquez sur Parcourir afin de sélectionner l'emplacement ou sera exporté le certificat. Le fichier créé aura une extension en .cer

Capture d’écran 2015-12-08 à 13.06.07

 

Cliquez sur Suivant

Capture d’écran 2015-12-08 à 13.09.12

 

Cliquez sur Terminer, et fermez toutes les boites de dialogue.

Capture d’écran 2015-12-08 à 13.10.32

Dans la console MMC, faites un clique droit, puis sélectionnez Toutes les tâches/Importer

Capture d’écran 2015-12-08 à 13.12.14

A l'écran de bienvenue, cliquez sur Suivant, puis cliquez sur Parcourir, afin de récupérer votre fichier de certificat précédemment enregistré et possédant une extension en .cer

Capture d’écran 2015-12-08 à 13.16.43

Cliquez sur Suivant

Capture d’écran 2015-12-08 à 13.17.40

Cliquez ensuite sur Terminer

Capture d’écran 2015-12-08 à 13.18.21

Dans Personnel/Certificats, vous devriez avoir votre certificat.

Capture d’écran 2015-12-08 à 13.19.32

Voilà, nous allons pouvoir chiffrer les communications entre le serveur et les client VMware Mirage avec une authentification SSL. Rendez-vous à présent sur votre console VMware Mirage, puis dans System Configuration/Servers, faire un clique droit sur votre serveur, puis sélectionnez Configure.

Sélectionnez le type de transport SSL, ainsi que le nom du serveur qui délivre le certificat. Cliquez ensuite sur OK.

Capture d’écran 2015-12-08 à 13.28.25

A partir de ce moment là, tous les postes clients, utiliseront une connexion chiffrée et sécurisée avec le serveur VMware Mirage grâce au le protocole SSL.

Capture d’écran 2015-12-08 à 13.31.10

 

Attention :

Si vous aviez déjà installé des clients mirage sans avoir mis en place cette option de sécurité SSL, vous serez dans l'obligation de réinstaller le package MSI.

 

L'article suivant traitera des rôles et des groupes utilisateurs.