Version : v3.0.0

Release Date : 27.06.2023

Cette version est dotée de nouvelles fonctionnalités et de corrections de bugs dans le but d’améliorer votre expérience de gestion des certificats SSL. Cette version apporte des améliorations significatives et introduit plusieurs nouvelles fonctionnalités.

Cette version est principalement axée sur les fonctionnalités d’automatisation du renouvellement des certificats : ACME et AutoCert. Ces deux modules ont été grandement améliorés et de nombreuses nouvelles fonctionnalités ont été ajoutées. Le nouveau module de stockage des certificats utilisateur a été introduit. Enfin, le proxy du serveur ACME a été créé et intégré à l’application.

Certificats Utilisateur

Une amélioration significative dans SSLCert est l’introduction de nouvelles entrées de menu dédiées aux certificats utilisateur. Ces entrées de menu offrent deux opérations essentielles : la création normalisée de certificats et la récupération pratique des archives de certificats utilisateur à partir de Microsoft CA. Cette fonctionnalité est particulièrement précieuse pour la gestion des certificats S/MIME et pour l’intégration avec Airwatch afin d’administrer efficacement les certificats dans les environnements de gestion de la mobilité d’entreprise (EMM).

De plus, un site web de démonstration a été créé pour présenter le cas d’utilisation où les utilisateurs peuvent se connecter à un portail libre-service spécial afin de consulter et télécharger leurs certificats.

ACME Proxy

Cette fonctionnalité introduit le serveur ACME Proxy, qui agit comme un proxy vers le Microsoft CA, permettant l’utilisation du protocole ACME pour l’émission et le renouvellement de certificats à partir de l’autorité de certification Microsoft privée (ADCS – Active Directory Certificate Services). Le serveur proxy communique avec le client ACME, tel que SSLCert ACME Client ou Certbot, en utilisant le protocole ACME.
Une fois que toutes les exigences du protocole sont satisfaites, il demande le certificat à l’AC. Le serveur proxy s’intègre de manière transparente avec l’agent SSLCert précédemment introduit, un service léger qui s’exécute sur des machines Windows Server et utilise PowerShell pour demander l’émission de certificats à l’AC.

Le proxy offre également une sécurité améliorée en fournissant des options pour restreindre les adresses IP sources des clients autorisés à demander l’émission de certificats, ainsi que pour définir les domaines autorisés pour lesquels des certificats peuvent être émis.

Tous les certificats émis sont stockés de manière pratique dans le système SSLCert et sont donc automatiquement surveillés pour leur expiration. Ils apparaissent avec le titre “Importé (ACME Proxy)”.

AutoCert + ACME

Les fonctionnalités suivantes ont été introduites dans les modules AutoCert et ACME :

Dynamic Connector System

Le système Dynamic Connector a été introduit précédemment pour faciliter les méthodes les plus courantes de renouvellement et de déploiement des certificats. Au lieu de devoir écrire un script, les utilisateurs pouvaient remplir un formulaire pour configurer ces deux opérations. Maintenant, les connecteurs sont devenus dynamiques. Cela signifie qu’ils ne sont pas codés en dur dans l’application, mais qu’ils sont chargés dynamiquement à partir du système de fichiers lors du démarrage de l’application. Cela signifie qu’il est beaucoup plus facile et plus rapide d’ajouter de nouveaux connecteurs pour faciliter d’autres méthodes de renouvellement et de déploiement, sans nécessiter de mise à jour de l’installation de SSLCert. De plus, les clients peuvent maintenant écrire leurs propres connecteurs pour leurs besoins spécifiques, ainsi que personnaliser ceux déjà existants.

Options flexibles pour le stockage des clés privées

Les utilisateurs peuvent choisir leur mode préféré de stockage des clés privées des certificats parmi les options suivantes :

• Conserver : la clé privée reste stockée de manière cryptée dans la base de données locale de SSLCert.
• Supprimer après le téléchargement : la clé privée est supprimée après avoir été téléchargée.
• Supprimer après le déploiement : la clé privée est supprimée après la tentative de déploiement.
• Supprimer après un déploiement réussi : la clé privée est supprimée après un déploiement réussi.

Séparation de l’émission et du déploiement du certificat

Dans la version précédente, le certificat était toujours déployé après son émission. Désormais, il est possible de renouveler/émettre un certificat avec ou sans le déployer.

ACME

Liaison de compte externe

Ajout de la prise en charge de la fonction External Account Binding (EAB) au client ACME. Cette fonction permet d’associer un identifiant de compte externe au compte ACME, ce qui renforce la sécurité et la vérification lors des interactions avec le serveur ACME.

URL prédéfinie pour Let’s Encrypt staging

Lors de la création d’un objet ACME, il est nécessaire de définir l’URL du répertoire du serveur. Pour les tests avec Let’s Encrypt, il est conseillé d’utiliser leur environnement staging afin d’éviter les problèmes de limitation de débit. Il est maintenant possible de choisir cette URL dans la liste des URL de répertoire prédéfinies disponibles.

SSLCert Agent

Amélioration des rapports d’erreur

SSLCert Agent est un service fonctionnant sur une machine Windows Server. Ce service est utilisé pour communiquer avec l’autorité de certification de Microsoft à l’aide de commandes Powershell pour l’émission et le renouvellement de certificats, ainsi que pour le déploiement de certificats sur les serveurs Microsoft IIS. En raison de son architecture, la gestion des erreurs est relativement complexe et, dans les versions précédentes, elle entraînait un manque d’erreurs significatives renvoyées à SSLCert lorsque quelque chose ne fonctionnait pas au niveau de l’agent.

Cette gestion a été grandement améliorée à bien des égards :

• Les scripts PowerShell utilisés par l’agent détectent les erreurs d’exécution des commandes avec plus de précision.
• les sorties de la commande (stdout et stderr) sont correctement enregistrées et renvoyées dans la réponse de l’API
• toutes les erreurs sont interprétées par SSLCert, enregistrées et affichées dans l’interface utilisateur.