Watchdoc - Sécuriser le port 5744 à l'aide d'un certificat CA
Août 2025
Principe
En version 6.1.1, par défaut, les échanges entre le serveur web IIS (qu'il soit local ou déporté) et le kernel Watchdoc transitent par le port 5744 en exploitant le protocole HTTPS (TLS 1.3).
Le protocole TLS requérant un certificat pour authentifier le serveur et établir un canal de communication sécurisé, v. 6.1.1 installe par défaut un certificat Watchdoc auto-signé nommé "crystal" :
Si vous souhaitez augmenter le niveau de sécurité de votre serveur Watchdoc à l'aide d'un certificat signé par votre autorité de certification, vous pouvez appliquer la procédure suivante.
Procédure
Pour attribuer un certificat CA au port 5744 :
-
demandez à votre autorité de certification de vous fournir un certificat trusté par le domaine ;
-
importez le certificat CA dans Watchdoc (cf. Importer un certificat signé) ;
-
associez ce certificat au port 5744 ;
-
dans la section Certificats, vérifiez que le paramètre "est signé" affiche le logo
pour le certificat signé que vous venez d'ajouter ; -
accédez en tant qu'administrateur au serveur qui héberge le serveur maître Watchdoc ;
-
ouvrez la base de registre du serveur* ;
-
ouvrez le dossier Software > Doxense > Watchdoc ;
-
créez une clé CertificateValidationMode et complétez les valeurs suivantes :
-
Name : CertificateValidationMode
-
Type : dword
-
Data : 1 (cette valeur signifie "AuthorizedByMachine") ;
-
-
enregistrez les modifications apportées à la base de registre ;
-
rendez-vous sur le site web pour vérifier le bon fonctionnement du certificat.
N.B. : il est possible de faire signer le certificat "crystal" fourni par défaut (bouton Faire signer 
ce certificat). Dans ce cas, il est impératif de conserver le subject initial de ce certificat qui doit rester inchangé après signature.