CAPKI - Sécuriser le ServiceManager

Le package CAPKI propose les fonctionnalités nécessaires aux services de sécurité informatique, telles que le déploiement TLS du ServiceManager.

Présentation

Automation Engine utilise CAPKI pour établir des connexions sécurisées basées sur TLS 1.2 entre le ServiceManager et ses clients, le programme de dialogue de ServiceManager, la ligne de commandes de ServiceManager et Automation Engine lui-même.

CAPKI, qui est disponible pour les plateformes Windows et Unix, peut être téléchargé à partir de https://downloads.automic.com/.

Prérequis et recommandations

Avant d'installer une nouvelle version ou de mettre à niveau votre système et d'utiliser CAPKI, vous devez tenir compte de certains éléments.

Nouvelles installations

Vous devez installer CAPKI sur tous les ordinateurs exécutant les composants suivants :

• ServiceManager – Service

• ServiceManager - Programme de dialogue

• ServiceManager - Programme de ligne de commandes (CLI)

• Processus Automation Engine

Installation des mises à niveau

Il est vivement recommandé de respecter les étapes de mise à niveau suivantes dans l'ordre de la liste ci-après :

1. Déployez CAPKI sur tous les ordinateurs qui exécuteront le service ServiceManager, le programme de dialogue ServiceManager, le programme CLI ServiceManager CLI ou n'importe quel processus Automation Engine.

2. Mettez Automation Engine à niveau, soit manuellement, soit via Mise à niveau sans interruption de service.

3. Mettez à niveau tous les programmes de dialogue ServiceManager et tous les programmes CLI ServiceManager.

4. Mettez à niveaux tous les programmes ServiceManager. Si vous effectuez une mise à niveau depuis la version 12.1 ou une version ultérieure, vous pouvez utiliser la CAU - Procédure de mise à niveau.

5. Modifiez la valeur du paramètre SMGR_SUPPORT_LEGACY_SECURITY Y par N dans UC_SYSTEM_SETTINGS - Paramètres système

   Important ! Automation Engine n'acceptera plus de communication avec d'anciens programmes ServiceManager une fois ce paramètre défini à N.

En respectant cet ordre, vous vous assurez d'un fonctionnement sans interruption lors du processus de mise à niveau. Les nouveaux composants CLI et dialogue du ServiceManager et les processus de communication de Automation Engine peuvent toujours communiquer avec un ancien ServiceManager, mais pas l'inverse. Il est donc essentiel de mettre d'abord à niveau Automation Engine, le programme de dialogue ServiceManager et le programme CLI avant les programmes ServiceManager.

Remarque : Le nouveau programme de dialogue ServiceManager dispose d'un indicateur permettant de voir s'il est connecté à un ancien programme ServiceManager (non sécurisé) ou à un ServiceManager sécurisé.

Installation de CAPKI

Le package CAPKI téléchargé depuis https://downloads.automic.com/ dispose d'un programme d'installation silencieux pour Windows et toutes les plateformes Unix prises en charge. Il faut le déployer soit manuellement, soit via votre outil de distribution de logiciel préféré.

Important ! Il est vivement recommandé de déployer CAPKI avant d'installer ou de mettre à niveau les composants de Automation Engine. Si, pour une raison quelconque, CAPKI doit être installé après leur installation ou leur mise à niveau, vous devez les redémarrer pour qu'ils s'appliquent.

Utilisation du programme d'installation

setup[.exe] <install|remove|discover> caller=<CallerID> [options...]

Paramètres

• CallerID utilise la version de votre Automation Engine au format AE<major><minor>. Par exemple AE122 pour AE 12.2.

• Options

  • verbose : Active la sortie de diagnostic

  • veryverbose : Active la sortie de diagnostic détaillée

  • discover : Utilisé en tant que dernier paramètre Options ou avec les actions Installer ou Supprimer.

    Cette commande permet de détecter toutes les installations CAPKI de votre système. Sous Windows, elle consigne les informations dans le fichier journal %TEMP%/CAPKI_install.log. Sous UNIX, elle consigne les informations dans le fichier journal /tmp/CAPKI_install.log et les écrit sur la console.

  • env=<none|user|all> (UNIX) : Applique des variables d'environnement pour un utilisateur particulier.

    Valeurs autorisées :

    none : (par défaut) n'applique pas de variables d'environnement

    user : utilisateur actuel uniquement ($HOME/.profile)

    all : tous les utilisateurs (le login doit être "root")

Définir les codes retour

Les codes retour possibles sont :

• 0 Succès

• 1 (Windows) Succès, redémarrage nécessaire pour nettoyer les fichiers temporaires

• 2 (Windows) Succès, redémarrage nécessaire pour finaliser l'installation (*)

• 3 Erreur (les détails sont consignés dans le fichier journal)

(*) CAPKI peut ne pas être utilisable avant le redémarrage.

Journalisation et diagnostics

Le fichier journal d'installation capki_install.log généré à l'installation contient les messages d'erreur, d'avertissement et d'information. Sur les systèmes UNIX, il se trouve dans le répertoire /tmp et, sur les systèmes Windows, dans le répertoire %TEMP%.

Remarques :

• Si CAPKI n'est pas installé (correctement) sur un ordinateur sur lequel un nouveau ServiceManager est installé, ServiceManager se comporte comme une ancienne version (communication non sécurisée).

• Si CAPKI n'est pas installé (correctement) sur un ordinateur sur lequel un nouveau programme CLI ou programme de dialogue ServiceManager est installé, le client peut se connecter en mode hérité mais pas en mode sécurisé à un nouveau ServiceManager.

Configurer l'environnement CAPKI (UNIX)

Pour configurer correctement l'environnement CAPKI, vous devez définir la variable d'environnement CAPKIHOME et pointer vers le répertoire d'installation CAPKI. Vous devez le faire pour tous les clients ServiceManager disponibles pour les installations UNIX : ServiceManager – Service, ServiceManager - Programme de ligne de commandes (CLI) et les processus Automation Engine.

Exemple (installation Linux 64 bits)

export CAPKIHOME=/opt/CA/SharedComponents/CAPKI

Gestion des certificats

Au démarrage, Automation Engine et ServiceManager créent automatiquement leurs propres fichiers de clés et de certificats, en consignant les informations du chemin dans la section [CAPKI] de leurs fichiers de configuration (.INI).

Par exemple, sous Windows :

[CAPKI]

certificate=C:\Automic\Automation.Platform\AutomationEngine\bin\ucsrv_certificate.pem

key=C:\Automic\Automation.Platform\AutomationEngine\bin\ucsrv_key.pem

;chain=

cert_trusted_folder=.\trusted

Important ! Il est vivement conseillé de remplacer les certificats générés automatiquement par ceux qui ont été délivrés par une autorité de certification (CA). Vous devez définir le chemin de votre propre fichier de clés et de certificats dans le fichier (.INI) de configuration correspondant.

Validation des certificats

Automation Engine, le service ServiceManager, le programme de dialogue ServiceManager et ServiceManager CLI ne valident aucun certificat par défaut. Cela signifie que tous les certificats sont approuvés par défaut. Le service ServiceManager, le programme de dialogue ServiceManager et ServiceManager CLI peuvent gérer leurs propres magasins de certificats qui contiennent tous les certificats approuvés.

Pour activer la validation des certificats pour les composants susmentionnés, vous devez créer un dossier contenant tous les certificats que le composant approuve. Le chemin par défaut de ce dossier est défini dans le fichier INI du composant : cert_trusted_folder=.\trusted.

Par exemple, Automation Engine A possède un certificat dans son magasin de certificats approuvés, à l'inverse de Automation Engine B. Si les deux tentent de faire démarrer un agent à partir de Perspective Administration, Automation Engine A y parviendra, tandis que Automation Engine B recevra un message notifiant l'impossibilité de la connexion à ServiceManager, en raison d'une erreur de validation de certificat.

Important ! Si ServiceManager et l'un de ses clients (tel que le programme CLI) sont dans le même dossier "bin", vous devez séparer les deux dossiers. Pour ce faire, créez un second dossier et modifiez le paramètre dans le fichier INI de ServiceManager. Par exemple, cert_trusted_folder=.\sm_trusted.

Si au moins un certificat (au format PEM) est enregistré dans le dossier défini, le composant vérifie son approbation lors de l'établissement de la connexion. Un certificat est approuvé en présence du certificat lui-même ou de l'autorité de certification (CA) l'ayant signé. Sinon, le certificat n'est pas considéré comme approuvé et la connexion est terminée.