Déploiement des certificats

Si vous déployez ce système sur des appareils Windows, vous devrez convertir vos fichiers PEM et CRT au format PFX à l'aide de la commande suivante, en remplaçant <CertificateAndKeyName> et <CertificateName> par les noms de fichiers respectifs :

openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx

Le certificat PFX obtenu peut être déployé dans le stockage de certificats de l'ordinateur local des appareils cibles à l'aide de votre solution de gestion des terminaux. Après le déploiement, le certificat devrait apparaître dans le Gestionnaire de certificats de l'ordinateur local (recherchez Gérer les certificats de l'ordinateur) dans le dossier Personnel Certificats.

PowerShell nomme cet emplacement :

 cert:\LocalMachine\My

Pour limiter au maximum l'accès à la clé privée, restreignez les autorisations au compte SYSTEM et aux comptes administrateurs nécessaires uniquement. Vous pouvez vérifier cela dans le Gestionnaire de certificats de l'ordinateur local en cliquant avec le bouton droit sur le certificat, en sélectionnant Toutes les tâches (All Tasks), puis Gérer les clés privées… (Manage Private Keys...), et en vous assurant que seuls les comptes requis y ont accès.

Si vous déployez cette fonctionnalité sur des appareils Linux, aucun changement n'est nécessaire. Vous devez placer les clés privées PEM dans /etc/teamviewer/ssl/private et les certificats publics CRT dans /etc/teamviewer/ssl/certs. Assurez-vous que le certificat public et la clé privée correspondante ont le même nom de fichier de base, par exemple <CertificateAndKeyName>.pem et <CertificateAndKeyName>.crt. Veillez à ce que root soit le propriétaire du fichier de la clé privée. Il est recommandé de minimiser l'accès à root lui-même.

Test et application de la stratégie

La procédure de configuration de cette fonctionnalité étant complexe, il convient de la tester avant de l'étendre à d'autres appareils. Pour ce faire, il suffit d'installer le certificat sur un appareil local et d'appliquer la stratégie à ce même appareil, puis de démarrer une session de contrôle à distance, de lancer un enregistrement et de vérifier que le fichier est bien importé sur le serveur SFTP après l'arrêt de l'enregistrement. Cela confirme que le chiffrement, le déchiffrement et la configuration SFTP, ainsi que la connexion au serveur à partir de l'appareil qui importe, fonctionnent.

Si un téléchargement échoue, il sera réessayé après un court laps de temps, qui augmentera à chaque nouvel échec, jusqu'à une heure. Ce délai permet de réduire le nombre de requêtes erronées adressées au serveur SFTP. En particulier pendant les tests, lorsque la configuration est encore activement adaptée, il se peut que la prochaine tentative ne soit pas effectuée immédiatement après l'arrêt d'un enregistrement. Pour tenter un nouveau téléchargement immédiatement, un redémarrage complet de TeamViewer peut être effectué (par exemple, en redémarrant l'ordinateur).

Une fois le test réussi, déployez d'abord le certificat sur tous les appareils cibles à l'aide de votre solution de gestion des terminaux, puis appliquez la stratégie à ces appareils. Une fois que ces appareils auront enregistré des sessions de contrôle à distance, tous les enregistrements de ces appareils seront automatiquement téléchargés sur votre serveur.