Utilisation de la commande certificate de l'interface de ligne de commande

Utilisez la commande certificate de l'interface de ligne de commande afin de créer un certificat signé correspondant au nom de serveur ou au nom du système de nom de domaines (DNS) pour une connexion SSL entièrement sécurisée avec FileMaker Server.

FileMaker Server est fourni avec un certificat par défaut qui est installé sur le serveur de bases de données et un certificat racine disponible avec les logiciels FileMaker Pro et FileMaker Go. Si vous utilisez ce certificat, vérifiez que le certificat du serveur est installé sur l'ordinateur exécutant le serveur de bases de données et que le certificat du client est installé sur les ordinateurs clients où FileMaker Pro et FileMaker Go sont installés.

Vous pouvez utiliser la commande certificate pour demander un certificat signé auprès d'une autorité de certification (AC) correspondant à votre nom de serveur spécifique ou au nom DNS. Une autorité de certification émet des certificats numériques contenant une clé publique et l'identité de son propriétaire. Lorsque vous créez une demande de certificat, une clé privée est générée afin de correspondre à la clé publique.

  • Utilisez la commande certificate create pour créer le fichier de demande de certificat envoyé à l'autorité de certification (serverRequest.pem), ainsi qu'un fichier de clé privée cryptée utilisé par la commande certificate import (serverKey.pem).

  • Diagramme montrant la commande certificate create qui crée les fichiers serverRequest.pem et serverKey.pem

    La commande certificate create crée deux fichiers de sortie :

    • le fichier de clé privée cryptée : serverRequest.pem

      Envoyez le fichier serverRequest.pem à l'autorité de certification à l'aide du processus fourni par l'autorité de certification.

    • le fichier de clé privée cryptée : serverKey.pem

      La commande certificate import associe ce fichier au fichier de certificat renvoyé par l'autorité de certification.

    Remarque  Lorsque vous créez une requête serveur, utilisez un mot de passe de cryptage pour une clé privée. Par exemple : certificate create --keyfilepass exempleMotdepasseSecret

  • Utilisez la commande certificate import pour créer un fichier .pem de serveur personnalisé. Ce fichier associe le fichier de certificat reçu de l'autorité de certification au fichier de clé privée cryptée créé par la commande certificate create.

  • Diagramme montrant la commande certificate import qui crée les fichiers serverCustom.pem (à partir du certificat) et serverKey.pem

Remarque  Pour pouvoir écrire des informations dans le fichier serverKey.pem, vous devez disposer de privilèges d'administrateur. Si ce n'est pas le cas, Windows, macOS ou Linux génère une erreur. Pour éviter cette erreur :

  • Windows : ouvrez la fenêtre de l'invite de commande en utilisant l'option Exécuter en tant qu'administrateur.

  • macOS ou Linux : authentifiez-vous en tant que sudo pour exécuter des commandes en tant que super-utilisateur.

Format

fmsadmin certificate create nom_serveur

fmsadmin certificate create objet

fmsadmin certificate import fichier_certificat

Options

nom_serveur | objet

L'information nom_serveur ou objet est requise pour la commande certificate create.

L'information nom_serveur correspond à la valeur utilisée par les clients pour ouvrir des fichiers hébergés avec le protocole Réseau FileMaker, fmnet.

Par exemple, si les clients FileMaker Pro utilisent fmnet:/bdventes.masociété.com/ventes pour ouvrir la base de données hébergée Ventes, vous devez utiliser la commande suivante avec bdventes.masociété.com en tant que nom_serveur :

fmsadmin certificate create bdventes.masociété.com --keyfilepass exempleMotdepasseSecret

L'objet permet d'inclure d'autres informations que le nom de serveur (certaines autorités de certification exigent des informations supplémentaires). L'objet utilise la même syntaxe que l'argument dans la commande openssl req [-subj arg] :

  • L'objet n'est pas sensible à la casse.

  • L'objet doit être au format /type0=valeur0/type1=valeur1/type2=..., où chaque couple type=valeur est un type d'attribut et une valeur spécifiant un nom unique relatif.

  • La barre oblique inversée (\) permet d'ignorer les caractères spéciaux.

  • Mettez la chaîne de l'objet entre des guillemets droits doubles si celle-ci comprend des espaces.

Par exemple, pour utiliser le nom commun DNS bdventes.masociété.com et la valeur de pays US, utilisez la commande suivante :

fmsadmin certificate create /CN=bdventes.masociété.com/C=US --keyfilepass exempleMotdepasseSecret

L'exemple suivant montre d'autres attributs pouvant être spécifiés à l'aide de l'option objet :

fmsadmin certificate create "/CN=ets-srvr.filemaker.com/O=FileMaker DBS Test/C=US/ST=California/L=Santa Clara" --keyfilepass exempleMotdepasseSecret

Options

fichier_certificat

L'information fichier_certificat est requise pour la commande certificate import.

L'information fichier_certificat correspond au chemin d'accès complet au fichier de certificat SSL personnalisé reçu de la part de l'autorité de certification. Vous pouvez utiliser un chemin d'accès absolu ou un chemin d'accès relatif.

Par exemple, si le fichier de certificat est c:\Documents\signedCertificate.crt, utilisez la commande suivante :

fmsadmin certificate import c:\Documents\signedCertificate.crt

La commande certificate import associe le fichier de certificat signé au fichier serverKey.pem et crée un fichier nommé serverCustom.pem. Le fichier serverCustom.pem est créé dans le dossier CStore :

  • Windows : [disque]:\Program Files\FileMaker\FileMaker Server\CStore\serverCustom.pem

  • macOS : /Bibliothèque/FileMaker Server/CStore/serverCustom.pem

  • Linux : /opt/FileMaker/FileMaker Server/CStore/serverCustom.pem

Pour utiliser la commande certificate import :

  • Windows : vous devez disposer des droits d'administrateur sur le dossier CStore.

  • macOS et Linux : vous devez disposer des permissions d'accès de lecture et d'écriture sur le dossier CStore.

Après avoir utilisé la commande certificate import, vous devez redémarrer le serveur de bases de données. Après son redémarrage, si le serveur de bases de données ne parvient pas à localiser le fichier serverCustom.pem, il utilise le fichier server.pem par défaut.