À propos du certificat de sécurité de la recherche
L'utilisation de certificats de sécurité de la recherche permet aux serveurs d'interface et d'index Coveo d'être exécutés dans des serveurs avec plusieurs systèmes d'exploitation et de ne pas dépendre d'un seul fournisseur de sécurité comme Microsoft Active Directory.
Un certificat de sécurité de la recherche peut être défini afin que le serveur d'index n'accepte l'emprunt d'identité que de certains utilisateurs ou groupes fiables spécifiques et de serveurs d'interface spécifiques. La Plateforme Coveo contient un certificat de sécurité de la recherche par défaut qui ne spécifie aucune restriction à l'utilisateur ou au serveur. Vous pouvez sélectionner ou créer des certificats de sécurité de la recherche à la fin de l'installation du logiciel Coveo .NET Front-End, et plus tard à partir du menu En faire plus de l'interface de recherche (voir Première installation de Coveo .NET Front-End).
Chaque instance de Coveo a une liste blanche de certificats de sécurité de la recherche qui contient les certificats de sécurité de la recherche approuvés pour effectuer des recherches. La liste blanche peut également spécifier, pour chaque certificat, les utilisateurs ou les groupes qui peuvent être personnifiés afin d'effectuer des requêtes ainsi que les machines approuvées qui peuvent envoyer des requêtes (voir Modification d'une liste blanche de certificats).
Configuration de sécurité de recherche déployée
Les programmes d'installation d'index et d'interface de Coveo effectuent les configurations nécessaires afin d'appliquer le certificat de sécurité de la recherche. Les éléments suivants doivent tous être en place afin de permettre la communication entre les serveurs d'interface et d'index Coveo.
-
Création et déploiement d'autorités de certification et de certificats approuvés par défaut
-
Dans le serveur maître Coveo, les fichiers d'une autorité de certification approuvée par défaut, un certificat pour le service CES, un certificat pour le serveur d'interface local, et un certificat pour les miroirs sont créés dans le dossier [Index_Path]\Certificates.
Note : Les certificats de sécurité de la recherche par défaut sont créés et signés par Coveo.
-
Déclaration SSL de l'autorité de certification et des certificats
-
Dans des serveurs maître et miroir Coveo, une section <SSL> dans le fichier [Index_Path]\Config\Config.txt déclare le fichier d'autorité de certification approuvé et les certificats par défaut.
Exemple :<SSL> <CACertificatePrivateKey>C:/CES7/Config/Certificates/pk-ca.pem</CACertificatePrivateKey> <Certificate>C:/CES7/Config/Certificates/cert-ces.pem</Certificate> <CertificatePrivateKey>C:/CES7/Config/Certificates/pk-ces.pem</CertificatePrivateKey> <TrustedCAs>C:/CES7/Config/Certificates/cert-ca.pem</TrustedCAs> </SSL>
L'élément <TrustedCAs> contient le chemin d'accès vers le fichier qui contient toutes les autorités de certification que le miroir approuve. Ce fichier d'autorité de certification approuvé contient les autorités de certification dans le format Privacy Enhanced Mail (PEM). Dans une installation typique, l'autorité de certification approuvée ne contient qu'une autorité qui a signé tous les certificats, dont le certificat de sécurité de la recherche d'interface local. Il est inutile d'ajouter une autorité de certification approuvée dans une installation typique, car le certificat de sécurité de la recherche d'interface est déjà approuvé.
Note : Vous pouvez toutefois ajouter autant d'autorités de certification approuvées que vous voulez en ajoutant simplement d'autres autorités de certification à ce fichier.
-
Ajout du certificat de sécurité de la recherche à la liste blanche
-
Dans des serveurs maître et miroir Coveo, l'empreinte et l'information facultative de restriction sont ajoutées à la section <CertificateWhitelist> dans le fichier [Index_Path]\Config\Config.txt, pour chaque certification de recherche que l'instance de Coveo peut approuver (voir Modification d'une liste blanche de certificats).
Exemple :<CertificateWhitelist> <SearchCertificate ID="28485"> <Thumbprint>A33AC6887B8B0625656C7ECEC0E3F040AF6DA360</Thumbprint> </SearchCertificate> </CertificateWhitelist>
-
Identification du certificat de sécurité de la recherche à utiliser pour l'application Admin Web
-
Dans un serveur maître de Coveo, l'application Admin web doit identifier le certificat de sécurité de la recherche à utiliser dans la section <CoveoEnterpriseSearch> du fichier [CES_Path]\Web\Admin\web.config avec l'attribut sslCertificatePath.
Exemple : Identification du fichier du certificat C:\CES7\Config\Certificates\cert-iis.p12.<coveoEnterpriseSearch> <server hostname="localhost" port="52800" sslCertificatePath="C:\CES7\Config\Certificates\cert-iis.p12"/> ... </coveoEnterpriseSearch>
-
Identification du certificat de sécurité de la recherche à utiliser pour le serveur d'interface.
-
Dans chaque serveur d'interface de Coveo, chaque application Web doit identifier le certificat de sécurité de la recherche à utiliser dans la section <CoveoEnterpriseSearch> du fichier [CES_Path]\Web\Admin\web.config avec l'attribut sslCertificatePath. Le fichier du certificat de sécurité de la recherche doit être disponible dans le serveur d'interface.
Exemple : Identification du fichier du certificat C:\CES7\Config\Certificates\cert-iis.p12.<coveoEnterpriseSearch> <server hostname="localhost" port="52800" sslCertificatePath="C:\CES7\Config\Certificates\cert-iis.p12"/> ... </coveoEnterpriseSearch>
Important : Avec la Plateforme Coveo 7 Beta 1, le programme d'installation Coveo.Net Front-End ne contient pas encore un formulaire de première installation qui permet de configurer facilement à quel serveur d'index Coveo le serveur d'interface se connecte et quel certificat de sécurité de la recherche il utilisera. Vous devez faire cette configuration manuellement (voir Configuration manuelle de la sécurité du certificat de recherche).