Gérer les clés de chiffrement

Les clés de chiffrement sont utilisées pour chiffrer les entrées de données (connexions, coffre de l'utilisateur, documentation, et pièces jointes). Elles sont générées et stockées dans le fichier encryption.config uniquement sur le serveur. Pour chiffrer les données stockées dans la base de données, nous utilisons notre bibliothèque de cryptographie open-source.

Le fichier encryption.config ne peut pas être déplacé directement vers un autre système. Il est chiffré à l'aide de l'API de protection des données (DPAPI), qui lie le fichier au système où il a été initialement chiffré. En conséquence, le fichier ne peut pas être lu ou utilisé sur une machine différente.

Pour utiliser la configuration de chiffrement sur un autre système, il faut exporter les clés de chiffrement du système d'origine puis les importer sur le système cible.

Les mêmes clés de chiffrement doivent être utilisées par toutes les instances Devolutions Server dans une topologie de haute disponibilité ou d'équilibrage de charge qui partagent la même base de données SQL. La même exigence s'applique également lors d'une migration.

1. Ouvrir la console Devolutions Server.

2. Dans l'onglet Outils, cliquer sur Exporter.

   

3. Entrer un Nom de fichier et un chemin de destination, puis définir un mot de passe pour protéger le fichier.

   Nous recommandons fortement de stocker le fichier des clés de chiffrement dans un stockage sécurisé en dehors de Devolutions Server, tel que Devolutions Hub Business, Azure Key Vault ou AWS Key Management Service.

   

4. Cliquer sur Ok.

Vos clés de chiffrement ont été exportées vers la destination spécifiée.

1. Ouvrir la console Devolutions Server sur le serveur.

2. Dans l'onglet Outils, cliquer sur Importer.

   

3. Sélectionner le fichier de clés de chiffrement, puis entrer le mot de passe.

   

4. Cliquer sur Ok.

Une fois l'opération terminée, les nouvelles clés de chiffrement sont appliquées aux données de la base de données.

Il peut y avoir des situations où vous devez régénérer les clés de chiffrement, par exemple si vous pensez que votre base de données a été compromise. Les étapes suivantes expliquent comment effectuer cette opération.

1. Créer une copie de sauvegarde complète de la base de données et s'assurer que la sauvegarde est valide et utilisable.

2. Faire une copie de sauvegarde du dossier de l'application Web Devolutions Server.

3. Exporter les clés de chiffrement existantes. Voir la procédure d'exportation sur cette page.

4. Dans l'onglet Serveur, passer l'instance Devolutions Server en mode hors ligne en cliquant sur Passer hors ligne.

   

5. Aller dans l'onglet Outils et cliquer sur Régénérer.

   

6. Entrer un Nom de fichier et un chemin de destination, puis définir un mot de passe pour protéger le fichier.

   Nous recommandons fortement de stocker le fichier des clés de chiffrement dans un stockage sécurisé en dehors de Devolutions Server, tel que Devolutions Hub Business, Azure Key Vault ou AWS Key Management Service.

   

7. Cliquer sur Ok.

8. Un dernier avertissement apparaît avant le début du processus de régénération. Cliquer sur OK à nouveau pour continuer.

   

Le processus de régénération va démarrer. Une fois terminé, le statut indiquera que l'opération est terminée.

Si des erreurs surviennent lors du processus de régénération, suivre ces instructions pour restaurer l'instance Devolutions Server à son état précédent :

1. Restaurer votre base de données avec la sauvegarde effectuée juste avant la régénération des clés.

2. Naviguer vers le dossier App_Data à la racine de votre instance Devolutions Server.

3. Renommer le fichier encryption.config en encryption.config.bak (Devolutions Server ignorera désormais ce fichier).

4. Renommer le fichier encryption..config le plus récent en encryption.config.

5. Redémarrer le pool d'applications si nécessaire.