W dzisiejszych czasach każdy administrator jakiegokolwiek systemu IT, w pieszej kolejności stawia na bezpieczeństwo danych. System ERP jest specyficznym systemem IT, w którym przechowywane są bardzo wrażliwe dane firmy i właśnie dlatego często spotykam się z niechęcią przed bezpośrednim wystawieniem takiego systemu „na zewnątrz”. Wielu przedsiębiorców korzysta w takim przypadku z tuneli VPN, które skutecznie zabezpieczają połączenie z systemem ERP spoza firmy, ale co z szyfrowaniem danych wewnątrz sieci?
System Microsoft Dynamics NAV może mieć natywnie zainstalowany Web Server, który umożliwia w pełni korzystanie z systemu ERP przez przeglądarkę internetową, zarówno na desktopach, jak i na urządzeniach mobilnych. Obowiązkowym zabiegiem podczas jego konfiguracji jest implementacja certyfikatu SSL, o czym będzie ten artykuł.
W pierwszej części artykułu zostanie wygenerowany testowy certyfikat SSL, który nie może być wykorzystywany do celów produkcyjnych. Taki certyfikat nie jest domyślnie traktowany przez system Windows jako zaufany, dlatego dla systemu produkcyjnego należy zakupić dedykowany certyfikat SSL od Wydawcy, uznawanego przez system Windows za zaufanego.
Jak pozyskać i skonfigurować certyfikat SSL?
W celu szybkiego i łatwego wygenerowania testowego certyfikatu SSL typu Self-Signed, Firma Microsoft przygotowała specjalny skrypt PowerShell, który należy pobrać z tej strony oraz rozpakować, a następnie uruchom konsolę powershell jako administrator.
Jeśli masz zakupiony certyfikat docelowy dla systemu produkcyjnego, przejdź od razu do punktu nr 3 niniejszego rozdziału.
1. Zmiana Execution Policy
W pierwszej kolejności należy zmienić Execution Policy na RemoteSigned (więcej o ExecutionPolicy znajdziesz tutaj). Umożliwi to zaimportowanie pobranego skryptu i uruchomienie go.
Get-ExecutionPolicy
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
2. Wygenerowanie certyfikatu SSL
Następnie należy zaimportować i uruchomić pobrany ze strony Microsoft skrypt.
Import-Module .\New-SelfSignedCertificateEx.ps1
New-SelfSignedCertificateEx -Subject „CN=nazwakomputera.domenafirmowa.com” -IsCA $true -Exportable -StoreLocation LocalMachine
gdzie -Subject “CN=nazwakomputera.domenafirmowa.com” jest pełną, domenową nazwą maszyny, dla której generujemy certyfikat.
Generując certyfikat upewnij się dwa razy, że poprawnie podałeś pełną domenową nazwę maszyny w parametrze -Subject. Ważną kwestią jest również skopiowanie „odcisku palca” certyfikatu, tzw. Thumbprint, który na późniejszym etapie będzie nam potrzebny do konfiguracji instancji serwera NAV.
3. Zmiana opcji zaufania certyfikatu oraz jego konfiguracja do współpracy z Dynamics NAV (dotyczy również certyfikatu produkcyjnego)
Po poprawnym wygenerowaniu lub zaimportowaniu certyfikatu należy go odpowiednio skonfigurować. Jeśli masz certyfikat docelowy, nie musisz zmieniać jego opcji zaufania.
Proces konfiguracji certyfikatu należy rozpocząć od uruchomienia programu Microsoft Management Console (mmc.exe). W tym celu wciśnij na klawiaturze kombinację przycisków Windows + r oraz wpisz mmc.exe. Następnie, z menu wybierz opcję Plik -> Dodaj/Usuń przystawkę… oraz wybierz przystawkę Certyfikaty i kliknij Dodaj. Jako opcje przystawki certyfikatów wybierz kolejno Konto komputera oraz Komputer lokalny.
Drugą opcją jest wyszukanie w menu start systemu Windows aplikacji Zarządzaj certyfikatami komputerów, dostępnej również w Panelu Sterownia w narzędziach administracyjnych.
Zlokalizuj certyfikat
Wygenerowany certyfikat testowy znajduje się w drzewie Katalog główny konsoli –> Certyfikaty (Komputer lokalny) –> Osobisty –> Certyfikaty. Jego nazwa powinna być taka sama jak nazwa maszyny, podana w parametrze -Subject podczas generowania certyfikatu. Certyfikat produkcyjny będzie dostępny po zaimportowaniu w tym samym miejscu.
Nadaj uprawnienia do Certyfikatu
Kliknij prawym przyciskiem myszy na zlokalizowany certyfikat i wybierz kolejno opcje Wszystkie zadania –> Zarządzaj kluczami prywatnymi… Następnie nadaj uprawnienia do certyfikatu temu samemu użytkownikowi, który używany jest do uruchamiania usług Dynamics NAV Services (to bardzo ważne!). Konto to zostało skonfigurowane podczas instalacji serwera Dynamics NAV.
Zmień zaufanie certyfikatu
Kliknij prawym przyciskiem myszy na certyfikat i wybierz opcję Kopiuj, a następnie wklej go do ścieżki Katalog główny konsoli –> Certyfikaty (Komputer lokalny) –> Zaufane główne urzędy certyfikacji -> Certyfikaty
Wyeksportuj certyfikat SSL
Kliknij prawym przyciskiem myszy na zaufany certyfikat i wybierz opcję Wszystkie zadania -> Eksportuj. W kreatorze wybierz opcję Nie eksportuj klucza prywatnego a jako format wybierz Certyfikat X.509 szyfrowany algorytmem DER, a następnie zapisz go w bezpiecznym miejscu.
Jeśli konfigurujesz certyfikat produkcyjny, możesz nie znać odcisku palca certyfikatu. Aby go poznać, należy w tej samej przystawce, w tym samym katalogu Zaufane główne urzędy certyfikacji otworzyć zaimportowany certyfikat, przejść na zakładkę Szczegóły, a następnie wybrać opcję Odcisk palca i skopiować jego wartość, usuwając przy tym spacje (to ważne!)