Si vos clients échouent à se connecter avec Devolutions Gateway, s'assurer que le certificat contient la chaîne entière. Cette chaîne de certificats inclut tous les certificats intermédiaires. Par exemple : Autorité de Certification Racine – Autorité de Certification Sécurisée – Certificat XYZ Acheté.
Il est possible d'utiliser le magasin de certificats Windows comme source de certificat TLS. Au lieu d'utiliser un fichier, stocker et gérer vos certificats avec Windows. À la date de rédaction, cette fonctionnalité n'est pas exposée dans la console de configuration GUI de Devolutions Gateway. Pour configurer, vous devez soit modifier directement le fichier gateway.json soit utiliser le module Devolutions.PowerShell.
Avec la nouvelle fonctionnalité, quelques paramètres supplémentaires sont disponibles pour configurer la source du certificat.
Si vous avez une configuration TlsCertificateFile
et/ou TlsPrivateKeyFile
définie précédemment, il n'est pas nécessaire de la supprimer car TlsCertificateSource
indique à Devolutions Gateway où chercher le certificat.
- TlsCertificateSource (chaîne) : Source pour le certificat TLS, valeurs possibles ci-dessous.
- External (par défaut) : Récupérer un certificat stocké sur le système de fichiers. Voir les options
TlsCertificateFile
,TlsPrivateKeyFile
, etTlsPrivateKeyPassword
. - System : Récupérer le certificat géré par le magasin de certificats système. Voir les options
TlsCertificateSubjectName
,TlsCertificateStoreName
, etTlsCertificateStoreLocation
.
- External (par défaut) : Récupérer un certificat stocké sur le système de fichiers. Voir les options
- TlsCertificateSubjectName (chaîne) : Nom du sujet du certificat pour TLS lors de l'utilisation de la source Système.
- TlsCertificateStoreName (chaîne) : Nom du Magasin de Certificats Système à utiliser pour TLS (par défaut est My).
- TlsCertificateStoreLocation (chaîne) : Emplacement du Magasin de Certificats Système à utiliser pour TLS, valeurs possibles ci-dessous.
- CurrentUser (par défaut)
- CurrentService
- LocalMachine
Importer le certificat dans le magasin de certificats Windows
D'abord, importer votre certificat dans le magasin de certificats Windows. Windows prend en charge les formats de certificats suivants :
- Certificat X.509 - *.cer, *.crt
- Échange d'Informations Personnelles - *.pfx, *.p12
- Magasin de certificats sérialisé Microsoft - *.sst
- Certificats PKCS #7 - *.spc, *.p7b
Si vous utilisez la méthode External
via TlsCertificateSource
, alors Devolutions Gateway ne prend en charge que le regroupement de la clé publique et de la clé privée dans un fichier PFX (PKCS#12). Sinon, vous devrez définir le paramètre TlsPrivateKeyFile
également.
Convertir un certificat X.509
Devolutions Gateway nécessite une clé privée avec le certificat TLS ; par conséquent, vous pourriez avoir besoin de combiner la clé publique avec sa clé privée. Voici deux méthodes : Remote Desktop Manager et l'utilitaire Windows intégré certutil
.
Utiliser Remote Desktop Manager
L'entrée Certificat X.509 peut être utilisée pour importer ledit certificat et l'exporter dans plusieurs formats différents, y compris PFX.
- Dans Remote Desktop Manager, cliquer sur Nouvelle Entrée – Gestion des Identifiants – Général – Certificat X.509.
- Sélectionner le certificat et cliquer sur Ouvrir.
- Cliquer sur Suivant.
- Cliquer sur les points de suspension et sélectionner la Clé privée.
- Cliquer sur Ouvrir.
La Clé privée doit être dans l'extension
.key
. - Cliquer sur Terminer.
- Remplir les informations, puis cliquer sur Ajouter.
- Sélectionner l'entrée et cliquer sur Enregistrer le Certificat Sous (également disponible dans le menu contextuel clic droit).
- Dans le champ Format d'Exportation choisir Échange d'Informations Personnelles (pfx).
- Choisir où le fichier sera sauvegardé en cliquant sur les points de suspension.
- Entrer un mot de passe fort, puis cliquer sur Exporter.
Utiliser l'utilitaire Windows certutil
Utiliser l'utilitaire Windows certutil
intégré pour combiner un fichier de certificat (.crt
ou .cer
) et sa clé privée (.key
). Les deux fichiers doivent avoir le même nom.
certutil -MergePFX file.crt file.pfx
Importer le certificat
Après avoir acquis le fichier de certificat et le fichier de clé privée du certificat, l'importer dans Windows.
- Installer le certificat :
- Si Windows détecte automatiquement le certificat, double-cliquer dessus et choisir Installer le Certificat... ; ou
- Ouvrir
certmgr.msc
vers l'emplacement de magasin souhaité (LocalMachine
ouCurrentUser
), clic droit sur l'emplacement voulu (ex : Personnel/Certificats) et choisir Toutes les Tâches – Importer.
- Choisir l'une des options suivantes et cliquer sur Suivant :
- Sélectionner automatiquement le magasin de certificats en fonction du type de certificat ; ou
- Placer tous les certificats dans le magasin suivant et cliquer sur Parcourir... pour choisir un dossier.
- Compléter l'importation en cliquant sur Terminer.
Configurer le magasin de certificats Windows via gateway.json
L'emplacement par défaut du fichier gateway.json
est dans le répertoire %ProgramData%\Devolutions\Gateway.
S'assurer que le fichier est un .json
valide en le testant avec :
$Config = ("{0}\Devolutions\Gateway\gateway.json" -F $Env:ProgramData)
Essayer {
Get-Content -Path $Config | ConvertFrom-JSON -ErrorAction 'Stop'
} Attraper {
$PSItem[0].Exception.Message
}
Cela fonctionne avec PowerShell 5.1 et les versions ultérieures (la version recommandée à utiliser est PowerShell 7.x).
Une configuration typique est montrée ci-dessous. Vos valeurs peuvent différer, surtout le Nom du Sujet, car cela reflétera le nom de domaine auquel Devolutions Gateway répond. Les valeurs importantes à changer sont :
TlsCertificateSource
-System
TlsCertificateSubjectName
-gateway.ad.it-help.ninja
TlsCertificateStoreName
-My
TlsCertificateStoreLocation
-LocalMachine
Un exemple du fichier de configuration entier :
{
"Id": "c912b379-8c34-449d-8ff3-3aa20a9cc3e4",
"Hostname": "gateway.ad.it-help.ninja",
"TlsCertificateFile": "server.crt",
"TlsPrivateKeyFile": "server.key",
"TlsCertificateSource": "System",
"TlsCertificateSubjectName": "gateway.ad.it-help.ninja",
"TlsCertificateStoreName": "My",
"TlsCertificateStoreLocation": "LocalMachine",
"ProvisionerPublicKeyFile": "provisioner.pem",
"Listeners": [
{
"InternalUrl": "https://*:7171",
"ExternalUrl": "https://*:7171"
},
{
"InternalUrl": "tcp://*:8181",
"ExternalUrl": "tcp://*:8181"
}
]
}
- Exécuter le script ci-dessus.
- Ouvrir
services.msc
. - Clic droit sur Service Devolutions Gateway et sélectionner Redémarrer.
- Vérifier si Devolutions Gateway fonctionne correctement en naviguant vers
https://{FQDN}:7171/jet/health
(en remplaçant{FQDN}
par votre adresse DNS de Gateway) avec un navigateur web.
Configurer le magasin de certificats Windows via PowerShell
Le Devolutions Gateway peut également être configuré via des commandes PowerShell. Le module PowerShell Devolutions Gateway expose de nombreuses commandes pour le configurer. Par défaut, une installation de Devolutions Gateway inclut le module dans le répertoire d'installation. Importer le module via la commande suivante :
# Importer le Module
Import-Module -Name "C:\Program Files\Devolutions\Gateway\PowerShell\Modules\DevolutionsGateway"
# Voir les Modules importés
Get-Module
Une autre méthode pour rendre le module facilement accessible est de l'installer via la commande suivante :
# Installer le module DevolutionsGateway
Install-Module -Name 'DevolutionsGateway'
# Mettre à jour le module si installé via la méthode ci-dessus (ne mettra pas à jour la version groupée installée avec Gateway)
Update-Module -Name 'DevolutionsGateway'
# Importer le Module
Import-Module -Name 'DevolutionsGateway'
# Voir les modules importés pour vérifier que le module DevolutionsGateway est disponible
Get-Module
Une fois importé, vous pouvez voir la configuration actuelle via la commande suivante :
Get-DGatewayConfig
Pour indiquer à Devolutions Gateway d'utiliser le magasin Windows, utiliser la commande suivante :
# Mettre à jour la configuration ; cela ne supprimera aucun paramètre existant, seulement configurer ceux définis.
# Remplacer l'exemple '{FQDN}` par le nom de domaine pleinement qualifié de l'adresse de la Gateway
Set-DGatewayConfig -TlsCertificateSource "System" -TlsCertificateSubjectName "{FQDN}" -TlsCertificateStoreLocation "LocalMachine" -TlsCertificateStoreName "My"
# Afficher la configuration mise à jour
Get-DGatewayConfig
Redémarrer le service pour que la configuration prenne effet.
Restart-Service -Name 'DevolutionsGateway'
Vérifier si Devolutions Gateway fonctionne correctement en naviguant vers https://{FQDN}:7171/jet/health
avec un navigateur web.