Compatibilité SSL

Si vous accédez à Centreon via le protocole HTTPS, vous devrez configurer le serveur d’application Java présent sur le serveur de reporting en HTTPS également. La raison est la suivante : le serveur d’application est nécessaire au fonctionnement de la Vue Interactive, si vous souhaitez utiliser cette fonctionnalité, elle doit également fonctionner en HTTPS. En effet, du contenu HTTP ne peut pas être exécuté dans du HTTPS.

Configurer IServer pour fonctionner en HTTPS

  • Si vous avez installé Centreon BI à partir de Centreon BI 2.0.2, le protocole HTTPS est déjà activé, vous pouvez passer à la section suivante.

  • Si vous avez installé Centreon BI à partir de Centreon BI 2.0.1, éditez le fichier suivant : /home/iserver/AcServer/servletcontainer/conf/server.xml et modifiez le pour obtenir

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS"
        keystoreFile="/home/iserver/keystore.jks" keystorePass="changeit" />

Vérifiez qu’il n’y a pas de configuration similaire dans le même fichier et sauvegardez le .

Import du certificat SSL

Certificat Approuvé

Pour importer un certificat approuvé dans le serveur d’application Java, vous devrez le convertir au format pkcs12.

Si vous n’avez pas de certificat au format pkcs12, vous pouvez le créer en utilisant les fichiers suivants :

  • Le fichier du certificat avec l’extension crt (certificat.crt par exemple)
  • La clé privée utilisée pour générer le certificat (certificat.key par exemple)
  • Le “primary intermediate CA” (primary.crt par exemple)

Exécutez la commande suivante sur le serveur de reporting:

openssl pkcs12 -export -in certificate.crt -inkey certificate.key -out myjavacertificate.p12 -name tomcat -CAfile primary.crt
Enter Export Password: changeit
Enter Export Password: changeit

Warning

Le mot de passe du certificat et du keystore doivent être le même.

Importez ensuite le fichier généré myjavacertificate.p12 dans le keystore défini dans le fichier /home/iserver/AcServer/servletcontainer/conf/server.xml:

keytool -v -importkeystore -srckeystore myjavacertificate.p12 -srcstoretype PKCS12 -destkeystore /home/iserver/keystore.jks -deststoretype JKS
Enter destination keystore password: changeit
Re-enter new password: changeit
Enter source keystore password: changeit
Entry for alias tomcat successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
[Storing truststore.jks]

Importez également le fichier généré dans le keystore suivant

keytool -v -importkeystore -srckeystore myjavacertificate.p12 -srcstoretype PKCS12 -destkeystore /home/iserver/AcServer/jdk160/jre/lib/security/cacerts -deststoretype JKS
Enter destination keystore password: changeit
Re-enter new password: changeit
Enter source keystore password: changeit
Entry for alias tomcat successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
[Storing truststore.jks]

Enfin, redémarrez le sevice IServer

service iserver restart

Certificat auto-signé

Warning

La procédure suivante est une solution temporaire pour rendre disponible la vue interactive dans Centreon. Dans un environnement de production, vous devrez posséder un certificat approuvé pour utiliser Centreon BI en HTTPS.

Si vous n’avez pas de certificat approuvé, vous pouvez en générer un temporaire, auto-signé, que vous importerez manuellement dans votre navigateur.

Créez le keystore et le certificat auto signé avec la commande suivante.

keytool -genkey -keyalg RSA -alias selfsigned -keystore /home/iserver/keystore.jks -storepass changeit -validity 360 -keysize 2048 -dname 'cn=myserver.mydomain, ou=mydomain, o=mycompany, c=FR' -keypass changeit

Les options de la commande ci-dessus :

  • Le storepass et le keypass doivent être le même que défini dans /home/iserver/AcServer/servletcontainer/conf/server.xml
  • Le paramètre validity peut être modifié
  • Le cn doit contenir le nom du serveur de reporting avec le domaine
  • Remplacez les variables myserver, mydomain, mycompany and FR

Maintenant, exportez le certificat pour l’importer dans la keystore de la JVM. Les mots de passe doivent être les mêmes que dans la commande précédente. Dans le cas de Centreon BI 2.0.2, le mot de passe est “changeit”

keytool -export -alias selfsigned -file mycertificate.crt -keystore /home/iserver/keystore.jks
keytool -import -alias selfsigned -file mycertificate.crt -keystore /home/iserver/AcServer/jdk160/jre/lib/security/cacerts
Enter keystore password: changeit
Trust this certificate? [no]:  yes
Certificate was added to keystore

Ensuite, redémarrez le service IServer

service iserver restart

Afin d’intégrer le certificat auto-signé dans votre navigateur (Chrome dans notre cas), rendez vous sur la page suivante https://myserver.mydomain:8443/iportal puis suivez la procédure vous permettant de récupérer et d’importer la clé du certificat :

Export du certificat

  1. Cliquez sur le cadenas barré dans la bar d’URL
  2. Sélectionnez l’onglet Connection
  3. Cliquez sur Certificat information (cela ouvrira une nouvelle fenêtre)
  4. Cliquez sur l’onglet Detail puis cliquez sur Copy in a file pour exporter le certificat
  5. Pour exporter le certificat, sélectionnez le format PKCS #7 qui correspond à l’extension .p7b. Enfin, exportez le fichier sur votre PC.

Import du certificat

  1. Rendez vous dans les paramètes avancés de votre navigateur. Cliquez sur Manage Certificates dans la section HTTP/SSL (cela ouvrira un nouvel onglet)
  2. Importez le certificat en cliquant sur Import
  3. Fermez toutes les fenêtres de votre navigateurs (toutes les instances ouvertes)

Ouvrez à nouveau votre navigateur et rendez vous à l’adresse https://myserver.mydomain:8443/iportal, le cadenas dans l’URL ne doit plus être barré.

Mise à jour de la configuration de Centreon BI

Dans l’interface Centreon, rendez vous sur Reporting > Centreon Business Intelligence > Administration > General Options > Interactive view options, et renseignez les paramètres suivants:

Option Valeur
Protocol used by the application server hosting IV https
Address of the application server hosting IV Nom et domaine du serveur de reporting (example : reportingserver.domain.com)
Port of the application server hosting IV 8443

Vous pouvez maintenant utiliser la vue interactive à partir du menu Reporting > Centreon Business Intelligence > Views > Interactive view.

Warning

Vous ne pouvez pas utiliser les port 80 et 443 pour IServer car ces ports peuvent être utilisés uniquement par des applications lancées par l’utilisateur root. Dans notre cas, IServer est lancé avec un utilisateurs ayant des privilèges limités.