Passer au contenu principal

Configuration de Warpgate + SSL

Pour que Warpgate fonctionnent bien comme un bastion on va définir un système de log de deux ans soit 720 jours. Bien évidement comme tout bastion ceci repond automatiquement a certaine exigence dont le HTTPS. Comme nous avons un Haproxy ceci va etre plutôt simple. 

Dans le fichier de configuration de Warpgate on met 720 jours dans retention. Ceci est la partie la plus simple :)

log:
  retention: 720days
  send_to: ~
config_provider: database

maintenant on peux sauvegarder et on y reviendra juste après pour les certificats. 
Ce que nous devons faire est simple, remplacer les certificats existant fait par Warpgate comme un crado par ceux de let's encrypt. Donc je vais modifier le script de renouvellement des certificats pour donner les deux fichiers nécessaire au bon fonctionnement de Warpgate dans le dossier gate.sg2i.net. Pour y accèder on devra passer par NFS 😄. 

On installe NFS sur RL 9  :

dnf install nfs-utils

puis on ce rend dans notre fstab et on y ajoute ces informations : 

nano /etc/fstab
192.168.1.250:IP:/volume1/SSL/gate.sg2i.net /home/kiu/SSL nfs rw,user 0 0
mount -a

une fois le dossier NFS monter, on voit 3 fichier mais seulement fullchain.pem et privkey.pem nous intéresse. On retourne dans le fichier de configuration de Warpgate. 
pour tls.certificate.pem = fullchain.pem et tls.key.pem = privkey.pem
mettre les bon fichiers a la place et on redémarre Warpgate. Si on ce reconnecte a notre interface WEB on peux voir que nos certificat on changer. 

Maintenant pour l'ouvrir sur le monde, on doit configurer notre Haproxy, la configuration reste simple. On doit avoir le fichier root de let's encrypt et le faire pointer dans notre Haproxy et le tour est jouer 🥂

acl http_back_gate ssl_fc_sni gate.sg2i.net
use_backend http_back_gate if http_back_gate

backend http_back_gate
   balance leastconn
   option httpclose 
   option forwardfor
   cookie JSESSIONID prefix
   http-request cache-use mycache
   http-response cache-store mycache
   mode http
   option httplog
   server warpgate IP:8888 check ssl ca-file /etc/haproxy/SSL/root.pem verify required

on peux redémarrer Haproxy et aller sur notre nom de domaine. 
on pense a ouvrir les ports 2222 et 33306 en TCP.