Skip to main content
Skip table of contents

PS Sécurité de la connexion

Configurer le certificat HTTPS

Un certificat personnalisé auquel tous les ordinateurs clients font confiance doit être configuré pour MyQ Print Server. Trois modes de gestion des certificats sont disponibles :

Certificate settings in the MyQ web UI

Par défaut, MyQ Print Server crée son propre certificat d'autorité de certification racine et l'utilise pour signer les certificats du serveur et du client. La partie publique de ce certificat peut être exportée et déployée dans le magasin de confiance des certificats du client, par exemple en utilisant la stratégie de groupe ou le MDM.

Les organisations disposant déjà de leur propre PKI peuvent préférer la seconde option. MyQ Print Server utilise sa propre autorité de certification intermédiaire pour émettre des certificats de serveur et de client. Le certificat de l'autorité de certification intermédiaire autogénéré doit être signé par l'autorité de certification de l'entreprise afin que les clients puissent s'y fier.

Si la politique de sécurité de l'entreprise n'autorise pas l'installation d'un certificat CA intermédiaire sur MyQ Print Server, ou si un certificat émis par une autorité de certification publique doit être utilisé, la gestion manuelle des certificats doit être utilisée à la place.

Quel que soit le mode de l'autorité de certification, les certificats sont physiquement stockés dans le répertoire "C:\ProgramData\MyQ\Cert", qui peut contenir les fichiers suivants :

  • server.pfx - certificat du serveur avec les clés publique et privée

  • server.cer - certificat de serveur avec clé publique

  • server.key - clé privée du serveur

  • ca-root.crt - certificat de l'autorité de certification racine de l'entreprise avec clé publique

  • ca-myq.pfx - émission d'un certificat d'autorité de certification avec clés publique et privée

  • ca-myq.crt - certificat d'autorité de certification avec clé publique

  • ca-myq.key- émission des clés privées de l'AC

Les clés privées de l'autorité de certification locale (utilisées dans les deux premiers modes de fonctionnement) sont toujours protégées par un mot de passe généré de manière aléatoire et stocké dans la base de données interne de Firebird sous une forme cryptée.

Bloquer le trafic HTTP non crypté

Le trafic HTTP non crypté ne doit pas être activé dans la configuration de MyQ Print Server :

Web server port settings in MyQ Easy Config
Bloquer les ports inutilisés

Réduire la surface d'attaque en désactivant les règles de pare-feu pour les protocoles non utilisés par MyQ Print Server :

Firewall rules
Cryptage des connexions à MyQ Central Server

N'utilisez que HTTPS pour vous connecter à MyQ Central Server :

Central server connection settings
Utiliser des mots de passe forts pour l'authentification de serveur à serveur

Le mot de passe pour la communication entre le serveur central et le site doit être fort (complexité du mot de passe) :

Servers communication password
Sécuriser le trafic SMTP

Lorsque le protocole SMTP est utilisé pour envoyer des courriers électroniques ou pour recevoir des documents provenant de scanners du réseau, le cryptage TLS doit toujours être appliqué pour garantir la confidentialité des données.

SMPT server settings

Le cryptage TLS doit également être appliqué lorsque le protocole IMAP est utilisé, tandis que l'ancien protocole POP3 doit être évité :

SMTP server IMAP settings
Utiliser des mots de passe RADIUS forts et uniques

Si l'authentification RADIUS est utilisée, il faut toujours générer des secrets partagés forts qui sont spécifiques au MyQ Print Server :

Radius server settings
Chiffrer le trafic LDAP

Le cryptage TLS doit être utilisé pour sécuriser tout le trafic LDAP :

LDAP settings in MyQ web UI

Pour des raisons de sécurité, n'utilisez pas START TLS, car il est vulnérable aux attaques MITM. Un certificat émis par une autorité de certification de confiance doit être configuré sur tous les serveurs LDAP (contrôleurs de domaine Active Directory).

Sécuriser le trafic SNMP

Les communications SNMPv1 non sécurisées avec les appareils doivent être évitées :

SNMP profiles

N'utilisez SNMPv3 qu'avec un mot de passe fort et configurez l'utilisation d'algorithmes cryptographiques plus sûrs (SHA1 et AES) :

SNMP profile settings
Sécuriser les informations d'identification de l'imprimante

La gestion des justificatifs d'identité des imprimantes se fait en dehors de MyQ Print Server et est spécifique à chaque fournisseur. Dans la mesure du possible, il convient d'utiliser des mots de passe forts, générés de manière aléatoire, pour gérer les imprimantes :

Printer credentials settings
Toujours utiliser le FQDN

Pour éviter les attaques MITM, utilisez strictement des noms de domaine pleinement qualifiés dans toutes les fenêtres de configuration :

Server hostname setting
Protéger les clés d'API REST

En cas d'utilisation d'API REST, protégez les secrets du client contre toute exposition inutile et procédez à un renouvellement périodique des secrets :

REST API settings in the MyQ web UI

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close