Configurer les connexions TLS entre les composants

Les connexions réseau entre les composants de la solution SES Evolution sont protégées par le protocole TLS. Les composants s'appuient sur la configuration du système d'exploitation des serveurs backend et des gestionnaires d'agents pour le paramétrage des connexions réseau utilisant TLS.

Afin d'améliorer la sécurité des connexions utilisant TLS, nous vous recommandons de désactiver les algorithmes de chiffrement les plus faibles.

Vous pouvez choisir entre l'une des deux méthodes suivantes pour effectuer cette opération.

NOTE
Si d'autres applications installées sur le serveur utilisent également le protocole TLS, elles seront impactées par cette modification.

  1. Ouvrez l’éditeur de stratégie de groupe (gpedit.msc),

  2. Sélectionnez Configuration ordinateur > Politiques > Modèles d'administration > Réseau > Paramètres de configuration SSL,

  3. Dans le panneau de droite, double-cliquez sur Ordre des suites de chiffrement SSL,

  4. La fenêtre Ordre des suites de chiffrement SSL s'ouvre. Sélectionnez l'option Activé,

  5. Dans le champ Suites de chiffrement SSL, collez la valeur suivante sur une seule ligne et sans espace :
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384

  6. Déployez cette configuration sur les serveurs sur lesquels sont installés les backend et gestionnaires d'agents SES Evolution.

  1. Exécutez le script PowerShell suivant sur les serveurs sur lesquels sont installés les backend et gestionnaires d'agents SES Evolution avec les droits d'administration :

    $AllowedSuites = `

    'TLS_DHE_RSA_WITH_AES_128_GCM_SHA256', `

    'TLS_DHE_RSA_WITH_AES_256_GCM_SHA384', `

    'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256', `

    'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256', `

    'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384', `

    'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384', `

    'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256', `

    'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256', `

    'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384', `

    'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384', `

    'TLS_RSA_WITH_AES_128_CBC_SHA256', `

    'TLS_RSA_WITH_AES_128_GCM_SHA256', `

    'TLS_RSA_WITH_AES_256_CBC_SHA256', `

    'TLS_RSA_WITH_AES_256_GCM_SHA384'

     

    Get-TlsCipherSuite | foreach { $_.Name } | where { $AllowedSuites -notcontains $_ } | Disable-TlsCipherSuite

  2. Redémarrez les serveurs pour prendre en compte le nouveau paramétrage.