ExpertSécurité

Installer ou renouveler un certificat SSL dans Microsoft IIS

Les systèmes d’exploitation Windows peuvent héberger des sites web sans avoir à installer un serveur Apache ou WAMP, il s’agit du serveur IIS. Pour aller plus loin qu’une simple mise à disposition de pages html ou php, et pour répondre aux exigences de sécurité du web d’aujourd’hui, il est recommandé de protéger ses pages avec un certificat SSL pour diffuser des pages https. Un tel certificat s’achète auprès d’un fournisseur comme Symantec DigitCert, GoDaddy, Thawte, etc. Pour acheter un certificat SSL, il faudra sûrement fournir un CSR dont voici un tutoriel pour générer un Certificate Signing Request.

Le serveur Microsoft Internet Information Services, plus communément appelé IIS (ou 2IS à l’oral) est un composant gratuit qui s’installe comme un rôle supplémentaire sur Windows Server et sur les versions Workstation de Windows (10, 8.1, 7…). Il sert à héberger des sites web mais aussi des services d’accès à distance comme les RemoteApps via RDS (Remote Desktop Services).

Ce tutoriel explique comment configurer Microsoft IIS pour ajouter un certificat SSL ou renouveler un certificat SSL obsolète puisque ceux-ci ont une durée de vie (un an, deux ans, trois ans…).

 

Microsoft IIS : installer ou remplacer un certificat SSL

Ajouter le certificat sur le serveur Windows

1. Télécharger le certificat SSL chez le fournisseur. Le fichier doit être au format CRT (certificat de sécurité) ou P7B (certificat PKCS #7). Déposer ces fichiers sur le serveur web IIS qui a besoin de ce certificat HTTPS.

2. Sur le serveur Windows IIS, ouvrir une console MMC : touches Windows + R (Exécuter), « mmc » :

tutoriel Windows Server console MMC certificat

3. Ouvrir le menu Fichier et aller sur « Ajouter / supprimer un composant logiciel enfichable » (snap-in en anglais) :

tutoriel Windows Server console MMC certificat

4. A gauche, cliquer sur « Certificats » puis sur le bouton central « Ajouter » :

tutoriel Windows Server console MMC certificat

5. Choisir « Un compte d’ordinateur » (Computer account), « L’ordinateur local » (Local computer) et cliquer sur Terminer.

tutoriel Windows Server console MMC certificat

6. De retour sur la fenêtre « Ajouter ou supprimer des composants logiciels enfichables » on constate que le composant « Certificats (ordinateur local) » a été ajouté sur la partie de droite. Cliquer sur « OK » en bas de fenêtre pour valider l’ajout du composant snap-in.

7. Dans la Console1, dérouler « Racine de la console » , « Certificats (ordinateur local) » et « Autorités de certification intermédiaires » (Intermediate Certification Authorities en anglais). Dans le cas d’un renouvellement, on peut voir la liste des certificats existants et obsolètes qui ont déjà été configurés sur le serveur 2IS.

8. Faire un clic droit sur « Autorités de certification intermédiaires » pour choisir Toutes les tâches, Importer.

tutoriel Windows Server console MMC certificat

9. Faire Suivant pour valider « Ordinateur local » et charger le fichier PKCS #7 (fichier .p7b précédemment téléchargé). Attention, il faut changer le Type de fichier à ouvrir pour pouvoir trouver le fichier d’extension .p7b (chez GoDaddy par exemple, il s’agit d’un fichier gd-g2_iis_intermediates.p7b) :

tutoriel Windows Server IIS certificat SSL

tutoriel Windows Server IIS certificat SSL

10. A la question du « Magasin de certificats » , choisir « Placer tous les certificats dans le magasin suivant » et valider « Autorités de certification intermédiaires » :

tutoriel Windows Server IIS certificat SSL

11. L’importation peut prendre quelques secondes pendant lesquelles on se demande s’il se passe quelque chose. Un message avertit de l’importation réussie du certificat SSL.

tutoriel Windows Server IIS certificat SSL

 

Ajouter le certificat dans IIS

Le certificat SSL a été ajouté sur le serveur Windows mais pas encore dans le serveur web IIS. C’est ce que nous allons faire dans cette partie du tutoriel.

1. Ouvrir le Gestionnaire de serveur Windows. Dans le menu Outils, cliquer sur « Gestionnaire de services internet (IIS) » pour ouvrir la console de gestion IIS.

2. Dans la partie de gauche « Connexions » , cliquer sur le serveur web qui nécessite le certificat SSL.

3. Au centre de l’écran (Page d’accueil de NomServeurWeb), trouver et doubler cliquer sur « Certificats de serveur » dans le groupe IIS.

generer certifical SSL CSR Certificate Signing Request

4. Dans le menu « Actions » à droite, cliquer sur « Terminer la demande de certificat » (Complete Certificate Request en anglais) :

tutoriel Windows Server IIS certificat SSL

5. Remplir les informations demandées :

  • Charger le fichier CRT délivré par le fournisseur de certificat SSL
  • Donner un nom pour reconnaitre ce certificat
  • Sélectionner le magasin « Personnel » pour ce nouveau certificat

6. Après validation, le nouveau certificat s’ajoute aux Certificats de serveur web.

tutoriel Windows Server IIS certificat SSL

7. Dans ce Gestionnaire de services Internet IIS, retourner sur le menu de gauche « Connexions » et dérouler NomServeurWeb, Sites et sélectionner le site qui a besoin du certif SSL (par exemple Default Web Site).

8. Dans « Actions » à droite, cliquer sur « Liaisons » (Bindings).

9. Cliquer sur « Ajouter » et configurer les paramètres demandés pour https et le port 443. Laisser « Adresse IP » en « Toutes non attribuées » et spécifier quel certificat utiliser. Valider et Fermer.

Dans le cadre d’un renouvellement, sélectionner la ligne « https » et « Modifier » : dans Certificat SSL, sélectionner le nouveau certificat identifiable grâce au « nom convivial » défini plus tôt. Valider et Fermer.

tutoriel Windows Server IIS certificat SSL

10. Dans le panneau « Actions » à droite, cliquer sur « Redémarrer » pour relancer le serveur web et prendre en compte le (nouveau) certificat SSL tout juste configuré.

11. Tester le certificat en allant sur le site internet avec « https » ou charger l’application web qui nécessitait le SSL (par exemple une application publiée sur RDS).

Publicité

Un commentaire

  1. Bonjour

    je me permets de vous envoyer ce mail afin de demander de l’aide sur un problème que je n’arrive pas à résoudre le problème est : j’ai installé récemment glass Fish sous Windows sevrer et j’ai acheté une certiticats SSL de chez grandi une fois tout est installé j’ai cette erreur quand je lance le web service : (10) Le certificat racine de la chaîne de certificats est auto-signé et non approuvé avez vous une idée s’il vous plait ?

    Bien cordialement

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page