Catégories
Expert Sécurité

Installer ou renouveler un certificat SSL dans Microsoft IIS

Les systèmes d’exploitation Windows peuvent héberger des sites web sans avoir à installer un serveur Apache ou WAMP, il s’agit du serveur IIS. Pour aller plus loin qu’une simple mise à disposition de pages html ou php, et pour répondre aux exigences de sécurité du web d’aujourd’hui, il est recommandé de protéger ses pages avec un certificat SSL pour diffuser des pages https. Un tel certificat s’achète auprès d’un fournisseur comme Symantec DigitCert, GoDaddy, Thawte, etc. Pour acheter un certificat SSL, il faudra sûrement fournir un CSR dont voici un tutoriel pour générer un Certificate Signing Request.

Le serveur Microsoft Internet Information Services, plus communément appelé IIS (ou 2IS à l’oral) est un composant gratuit qui s’installe comme un rôle supplémentaire sur Windows Server et sur les versions Workstation de Windows (10, 8.1, 7…). Il sert à héberger des sites web mais aussi des services d’accès à distance comme les RemoteApps via RDS (Remote Desktop Services).

Ce tutoriel explique comment configurer Microsoft IIS pour ajouter un certificat SSL ou renouveler un certificat SSL obsolète puisque ceux-ci ont une durée de vie (un an, deux ans, trois ans…).

 

Microsoft IIS : installer ou remplacer un certificat SSL

Ajouter le certificat sur le serveur Windows

1. Télécharger le certificat SSL chez le fournisseur. Le fichier doit être au format CRT (certificat de sécurité) ou P7B (certificat PKCS #7). Déposer ces fichiers sur le serveur web IIS qui a besoin de ce certificat HTTPS.

2. Sur le serveur Windows IIS, ouvrir une console MMC : touches Windows + R (Exécuter), « mmc » :

3. Ouvrir le menu Fichier et aller sur « Ajouter / supprimer un composant logiciel enfichable » (snap-in en anglais) :

4. A gauche, cliquer sur « Certificats » puis sur le bouton central « Ajouter » :

5. Choisir « Un compte d’ordinateur » (Computer account), « L’ordinateur local » (Local computer) et cliquer sur Terminer.

6. De retour sur la fenêtre « Ajouter ou supprimer des composants logiciels enfichables » on constate que le composant « Certificats (ordinateur local) » a été ajouté sur la partie de droite. Cliquer sur « OK » en bas de fenêtre pour valider l’ajout du composant snap-in.

7. Dans la Console1, dérouler « Racine de la console » , « Certificats (ordinateur local) » et « Autorités de certification intermédiaires » (Intermediate Certification Authorities en anglais). Dans le cas d’un renouvellement, on peut voir la liste des certificats existants et obsolètes qui ont déjà été configurés sur le serveur 2IS.

8. Faire un clic droit sur « Autorités de certification intermédiaires » pour choisir Toutes les tâches, Importer.

9. Faire Suivant pour valider « Ordinateur local » et charger le fichier PKCS #7 (fichier .p7b précédemment téléchargé). Attention, il faut changer le Type de fichier à ouvrir pour pouvoir trouver le fichier d’extension .p7b (chez GoDaddy par exemple, il s’agit d’un fichier gd-g2_iis_intermediates.p7b) :

10. A la question du « Magasin de certificats » , choisir « Placer tous les certificats dans le magasin suivant » et valider « Autorités de certification intermédiaires » :

11. L’importation peut prendre quelques secondes pendant lesquelles on se demande s’il se passe quelque chose. Un message avertit de l’importation réussie du certificat SSL.

 

Ajouter le certificat dans IIS

Le certificat SSL a été ajouté sur le serveur Windows mais pas encore dans le serveur web IIS. C’est ce que nous allons faire dans cette partie du tutoriel.

1. Ouvrir le Gestionnaire de serveur Windows. Dans le menu Outils, cliquer sur « Gestionnaire de services internet (IIS) » pour ouvrir la console de gestion IIS.

2. Dans la partie de gauche « Connexions » , cliquer sur le serveur web qui nécessite le certificat SSL.

3. Au centre de l’écran (Page d’accueil de NomServeurWeb), trouver et doubler cliquer sur « Certificats de serveur » dans le groupe IIS.

4. Dans le menu « Actions » à droite, cliquer sur « Terminer la demande de certificat » (Complete Certificate Request en anglais) :

5. Remplir les informations demandées :

  • Charger le fichier CRT délivré par le fournisseur de certificat SSL
  • Donner un nom pour reconnaitre ce certificat
  • Sélectionner le magasin « Personnel » pour ce nouveau certificat

6. Après validation, le nouveau certificat s’ajoute aux Certificats de serveur web.

7. Dans ce Gestionnaire de services Internet IIS, retourner sur le menu de gauche « Connexions » et dérouler NomServeurWeb, Sites et sélectionner le site qui a besoin du certif SSL (par exemple Default Web Site).

8. Dans « Actions » à droite, cliquer sur « Liaisons » (Bindings).

9. Cliquer sur « Ajouter » et configurer les paramètres demandés pour https et le port 443. Laisser « Adresse IP » en « Toutes non attribuées » et spécifier quel certificat utiliser. Valider et Fermer.

Dans le cadre d’un renouvellement, sélectionner la ligne « https » et « Modifier » : dans Certificat SSL, sélectionner le nouveau certificat identifiable grâce au « nom convivial » défini plus tôt. Valider et Fermer.

10. Dans le panneau « Actions » à droite, cliquer sur « Redémarrer » pour relancer le serveur web et prendre en compte le (nouveau) certificat SSL tout juste configuré.

11. Tester le certificat en allant sur le site internet avec « https » ou charger l’application web qui nécessitait le SSL (par exemple une application publiée sur RDS).

Catégories
Expert Sécurité Tutoriel

Générer un Certificate Signing Request (CSR) pour Certificat SSL

Acheter un certificat SSL nécessite de générer un CSR, Certificate Signing Request. Ce tutoriel explique comment le créer à partir d’un serveur internet IIS, en version 8 comme embarquée avec le système Windows Server 2012 / R2 mais ce guide convient également pour Windows Server 2016 avec IIS 10. Le certificat SSL servira à sécuriser un site web (https) ou des applications publiées (RDS) via un serveur web Microsoft IIS.

Le CSR se génère en quelques instants à partir du serveur web IIS. Cette demande de signature du certificat est envoyé par le demandeur (vous-même) à une autorité de certification (Verisign, GoDaddy…) pour demander un certificat d’identité numérique. Les formats les plus courants pour le CSR sont les PKCS #7 et #10. Le PKCS (Public Key Cryptographic Standards, pour standards de cryptographie à clé publique, définis par les Laboratoires RSA Security) succède au PFX de Microsoft et notons que OpenSSL utilise le format PKCS#12 (fichier de type .p12).

 

Générer un Certificate Signing Request (CSR) depuis IIS

1. Dans la console Gestionnaire de serveur (Server manager), ouvrir Outils et Gestionnaire des services internet (IIS).

2. Dans le panneau de gauche Connexions, cliquer sur le serveur concerné.

3. Sur l’écran du milieu, dans le groupe IIS, double cliquer sur l’icône Certificats de serveur.

4. Dans le panneau Actions à droite, cliquer sur Créer une demande de certificat.

5. Les champs à remplir sont les suivants :

  • Nom commun (CN) : le nom complet FQDN du domaine
  • Organisation (O) : nom de l’entreprise
  • Unité d’organisation (OU) : pour différencier les départements de l’entreprise ou mettre un nom générique
  • Ville (L) : ville du siège de l’entreprise
  • Département/région (S) : la région du siège de l’entreprise
  • Pays/région (C) : le pays du siège de l’entreprise

6. Spécifier le fournisseur de services de chiffrement, selon les besoins et ce que propose le prestataire qui fournira le certificat SSL.

7. Donner un nom de fichier pour la génération du CSR.

8. Ouvrir le fichier texte généré, la demande de certificat est le code indéchiffrable compris entre —–BEGIN NEW CERTIFICATE REQUEST—– et —–END NEW CERTIFICATE REQUEST—– .

9. Copier tout ce code et le coller dans le formulaire de demande de certificat SSL du fournisseur.