Comment faire pour configurer SSL dans un environnement de test IIS 5.0 de Windows 2000 à l'aide de Certificate Server 2.0

Traductions disponibles Traductions disponibles
Numéro d'article: 290625 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article étape par étape explique comment configurer SSL (Secure Sockets Layer) dans un environnement de développement en laboratoire utilisant des services IIS (Internet Information Services) 5.0 sous Windows 2000. Microsoft Certificate Server 2.0 étant en mesure créer de nombreux certificats différents ; cet article se limite à ne traiter que de la création d'un certificat Web standard.

Créer une demande de certificat

Pour créer un certificat de serveur Web, procédez comme suit :
  1. Ouvrez la console MMC (Microsoft Management Console) du Gestionnaire des services Internet. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet.
  2. Double-cliquez sur le nom du serveur pour afficher tous les sites Web.
  3. Cliquez avec le bouton droit sur le site Web pour lequel vous souhaitez installer le certificat, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Sécurité de répertoire.

    Trois méthodes de sécurité sont présentées. Celle que vous allez utiliser pour créer une demande de certificat est Communications sécurisées.
  5. Cliquez sur Certificat de serveur. L'Assistant Certificat démarre. Cliquez sur Suivant pour continuer.
  6. Sélectionnez Créer un certificat, puis cliquez sur Suivant.
  7. Sélectionnez Préparer la demande, mais ne pas l'envoyer maintenant, puis cliquez sur Suivant.
  8. Tapez un nom pour votre certificat, puis sélectionnez une longueur en bits. Sauf si cela est nécessaire pour votre laboratoire, n'activez pas la case à cocher Certificat SGC. (Pour plus d'informations à propos des certificats SGC, reportez-vous à la remarque qui figure à la fin de cette section.) Cliquez sur Suivant pour continuer.
  9. Tapez le nom de votre organisation et l'unité d'organisation (par exemple, le nom de la société et le département du développement). Cliquez sur Suivant.
  10. Pour le Nom commun, tapez un nom de domaine complet (FQDN) ou le nom du serveur. Il est préférable d'utiliser un FQDN si vous créez un certificat qui sera utilisé sur Internet. Cliquez sur Suivant.
  11. Tapez les informations de votre emplacement, puis cliquez sur Suivant.
  12. Tapez le chemin et le nom de fichier à utiliser pour enregistrer les informations du certificat, puis cliquez sur Suivant.

    REMARQUE : si vous tapez autre chose que l'emplacement et le nom de fichier par défaut, pensez à noter l'emplacement et le nom de fichier que vous venez de sélectionner, car vous aurez à y accéder dans une étape ultérieure.
  13. Vérifiez les informations que vous avez tapées, puis cliquez sur Suivant pour terminer le processus et créer la demande de certificat.
  14. Dans la boîte de dialogue Fin de l'Assistant Certificat de serveur Web, cliquez sur Terminer.
  15. Cliquez sur OK pour fermer les propriétés du site Web.
REMARQUES : les certificats SGC (Server Gated Cryptography) sont le plus fréquemment employés par des organismes financiers nécessitant des connexions à cryptage élevé même lors de connexion avec des utilisateurs ou des navigateurs internationaux limités à un cryptage à 40 bits. Lors d'une connexion à un navigateur international (40 bits), un certificat SGC crée un tunnel de 128 bits qui autorise une longueur de cryptage de 128 bits. La fin de la connexion ou la session sécurisée provoque la fermeture du tunnel intermédiaire du certificat.

Le certificat SGC est exclusivement spécifique du domaine. D'une manière générale, si le nom de domaine d'un certificat ne correspond pas au domaine du site Web, le message d'avertissement qui s'affiche pour vous signaler le problème vous donne le choix entre poursuivre ou non. En revanche, un certificat SGC n'affiche pas de message d'avertissement, ni propose de choix. La connexion n'aboutit pas et aucune explication n'est donnée.

Soumettre une demande de certificat

Pour soumettre une demande de certificat, procédez comme suit :
  1. Ouvrez un navigateur, puis ouvrez http://votre_nom_serveur_Web/certsrv/.
  2. Sélectionnez Demande de certificat, puis cliquez sur Suivant.
  3. Sélectionnez Demande avancée, puis cliquez sur Suivant.
  4. Sélectionnez l'option au centre, Soumettre une demande de certificat en utilisant un fichier crypté en Base64, puis cliquez sur Suivant.
  5. Dans le Bloc-notes, ouvrez le document de demande que vous avez créé dans la première section de la procédure "Création d'une demande de certificat".
  6. Copiez le contenu du document.

    Le contenu doit être semblable à ce qui suit :
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J
    tXKPWrBL
    -----END NEW CERTIFICATE REQUEST-------
    						
    REMARQUE : si vous enregistrez le document en utilisant le nom et l'emplacement par défaut, vous le trouverez dans C:\Certreq.txt.

    REMARQUE : vérifiez que le contenu est copié dans son intégralité, tel qu'il est indiqué ici.
  7. Collez le contenu du document dans la zone de texte Demande de certificat cryptée en Base64 du formulaire Web. Cliquez sur Soumettre.
  8. Si le serveur de certificats est défini à Toujours fournir le certificat, vous êtes immédiatement dirigé vers la page Certificat émis. La barre d'adresses indique :
    http://votre_nom_serveur_Web/certsrv/certfnsh.asp
    Vous pouvez immédiatement télécharger le certificat du serveur Web à partir de cette page. Pour cela, procédez comme suit sur la page Certificat émis :

    1. Cliquez sur le lien du haut, Télécharger un certificat d'une autorité de certification (ne cliquez pas sur Télécharger un chemin d'accès au certificat d'une autorité de certification).
    2. À l'invite, sélectionnez Enregistrez ce fichier sur disque, puis enregistrez le certificat sur votre bureau ou un autre emplacement dont il faudra vous souvenir.
    3. Allez maintenant directement à la section "Installation du certificat".
  9. Si le serveur de certificat est défini à Définir l'état de la demande de certificat comme étant en attente, le message suivant "Certificat en attente" s'affiche :
    Certificat en attente.
    Votre demande de certificat a été reçue. Vous devez cependant attendre qu'un administrateur émette le certificat que vous avez demandé. 
    Attendez un jour ou deux, puis retournez sur ce site Web pour récupérer votre certificat.
    Remarque : vous devez retourner sur ce site avec votre navigateur Web dans les 10 (dix) jours pour récupérer votre certificat.
    						
    Pour continuer, passez à la section « Émission d'un certificat ».
REMARQUE : pour plus d'informations sur la configuration des stratégies d'émission des certificats, reportez-vous à l'Annexe A.

Émission d'un certificat

Pour émettre (c'est-à-dire, autoriser) un certificat dans Certificate Server, procédez comme suit :
  1. Ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) de l'autorité de certification. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Autorité de certification.
  2. Développez Autorité de certification.
  3. Cliquez sur le dossier Demandes en attente. Vos demandes de certificat en attente apparaissent dans le volet droit.
  4. Cliquez avec le bouton droit sur la demande de certificat en attente (c'est-à-dire, la demande que vous avez soumise dans la troisième procédure de cet article), sélectionnez Toutes les tâches, puis cliquez sur Émettre.

    REMARQUE : après avoir sélectionné Émettre, le certificat n'apparaît pas dans cette fenêtre et ce dossier. Il réside maintenant dans le dossier Certificat émis. REMARQUE : pour plus d'informations sur la configuration des stratégies d'émission des certificats, reportez-vous à l'Annexe A.

Téléchargement d'un certificat

Après avoir émis et autorisé le certificat, vous pouvez retourner vers l'interface Web du serveur de certificat pour sélectionner et télécharger le certificat.
  1. Ouvrez http://votre_nom_serveur_Web/certsrv/.REMARQUE : vous devez taper certsrv en lettres minuscules. Sans cela, vous ne pouvez pas afficher de demandes en attente.

  2. Sur la page par défaut, sélectionnez Vérifier un certificat en attente, puis cliquez sur Suivant.REMARQUE : si vous sélectionnez Récupérer le certificat de l'autorité de certification ou la liste des révocations de certificats à partir de la page d'accueil par défaut, vous allez télécharger le certificat de l'autorité de certification racine et non le certificat du serveur Web. Si vous tentez d'installer un certificat de l'autorité de certification racine sur un site Web, le message d'erreur suivant apparaît :
    Le certificat sélectionné a déjà été installé pour un autre serveur. Choisissez un autre fichier de réponses.
  3. Sélectionnez votre certificat en attente, puis cliquez sur Suivant pour ouvrir la page téléchargée.
  4. Sur la page téléchargée, cliquez sur le lien hypertexte du haut, Télécharger un certificat d'une autorité de certification (ne cliquez pas sur Télécharger un chemin d'accès au certificat d'une autorité de certification).
  5. À l'invite, sélectionnez Enregistrez ce fichier sur disque, puis enregistrez le certificat sur votre bureau ou un autre emplacement dont il faudra vous souvenir.
Vous avez émis et téléchargé votre certificat.

L'étape suivante consiste à installer le certificat et à configurer un site Web crypté SSL.

Installation du certificat

Il existe plusieurs moyens d'installer et de configurer un certificat SSL : par exemple, vous pouvez double-cliquer sur le certificat et utiliser l'Assistant Installation de certificats pour pré-installer le certificat, et le lier ensuite au site. Cet article explique comment utiliser la console MMC Internet Service Manager pour installer le certificat en s'aidant de l'Assistant Certificat du serveur Web.

Pour installer un certificat dans Certificate Server, procédez comme suit :
  1. Ouvrez le Gestionnaire des services Internet, puis développez le nom du serveur pour pouvoir afficher les sites Web.
  2. Cliquez avec le bouton droit sur le site Web pour lequel vous avez créé la demande de certificat, puis cliquez sur Propriétés.
  3. Cliquez sur l'onglet Sécurité du répertoire. Sous Communications sécurisées, cliquez sur Certificat du serveur.

    Ce qui ouvre l'Assistant Installation du certificat. Cliquez sur Suivant pour continuer.
  4. Sélectionnez Traiter la demande en attente et installer le certificat, puis cliquez sur Suivant.
  5. Tapez l'emplacement du certificat que vous avez téléchargé dans la section "Téléchargement d'un certificat", puis cliquez sur Suivant.
  6. Lorsque l'Assistant affiche le résumé du certificat, vérifiez que les informations sont correctes, puis cliquez sur Suivant pour continuer.
  7. Cliquez sur Terminer pour terminer l'opération.

Configuration et test du certificat

Pour configurer et tester le certificat, procédez comme suit :
  1. Sous l'onglet Sécurité du répertoire, sous Communications sécurisées, notez que trois options sont disponibles. Pour que le site Web exige des connexions sécurisées, cliquez sur Edition. La boîte de dialogue Communications sécurisées apparaît.
  2. Sélectionnez Exiger un canal sécurisé (SSL), puis cliquez sur OK.
  3. Cliquez sur Appliquer, puis sur OK pour fermer la fenêtre Propriétés.
  4. Recherchez le site et vérifiez son fonctionnement :
    1. Utilisez http pour accéder au site en tapant http://localhost/Postinfo.html dans le navigateur. Un message d'erreur semblable au suivant s'affiche :
      HTTP 403.4 ? Interdit : SSL requis.
    2. Tentez maintenant d'utiliser une connexion sécurisée (https) pour accéder à la même page Web avec en tapant https://localhost/postinfo.html dans le navigateur. REMARQUE : la page Postinfo.html est une page HTML standard qui se trouve à la racine du site Web par défaut.

    3. Si le message de sécurité qui s'affiche indique que le certificat ne provient pas d'une autorité de certification racine de confiance, cliquez sur Oui pour continuer avec la page Web.

      REMARQUE : pour savoir comment ajouter votre autorité de certification racine la liste Autorités de certification racines de confiance de votre navigateur, reportez-vous à l'Annexe B.
Si vous pouvez afficher la page, l'installation de votre certificat a parfaitement réussi.

Annexe A : Comment faire pour modifier des stratégies d'émission de certificats

Vous pouvez choisir d'émettre un certificat en fonction d'une demande (aucune autorisation) ou de pré-autoriser toutes les demandes à soumettre, par le biais du composant logiciel enfichable MMC de l'autorité de certification. Pour cela, procédez comme suit :
  1. Ouvrez l'outil Autorité de certification. Pour cela, cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Autorité de certification.
  2. Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis cliquez sur Propriétés.
  3. Dans la fenêtre Propriétés, cliquez sur l'onglet Module de stratégie, puis cliquez sur Configurer.
  4. Sous l'onglet Action par défaut, sélectionnez l'une ou l'autre des options suivantes :
    • Définir l'état de la demande de certificat comme étant en attente: L'administrateur doit explicitement émettre le certificat.
    • Toujours fournir le certificat: Le certificat est immédiatement émis, aucune autorisation n'est requise.REMARQUE : si un certificat est reconnu sur le réseau, sélectionnez la deuxième option.

Annexe B : Installation d'un certificat racine d'une autorité de certification dans la liste des Autorités de certification racines de confiance dans Internet Explorer 5.x

Il existe plusieurs manières de fournir le certificat de l'autorité de certification racine à votre site Web. Un moyen consiste à l'envoyer par un courrier électronique et de faire en sorte que les utilisateurs l'installent à partir du courrier électronique. Un autre moyen consiste à inclure une page de téléchargement sur votre site Web avec un lien vers le certificat. Une solution à l'échelle de l'entreprise consiste à utiliser IEAK (Internet Explorer Administration Kit) pour diffuser un navigateur Internet Explorer personnalisé dont le certificat d'une autorité de certification racine est déjà installé dans la liste Autorités de certification racines de confiance. Si vous rendez le certificat disponible, une chose ne change pas : le mode d'installation du certificat dans la liste Autorités de certification racines de confiance de Internet Explorer, comme le montre cette annexe.

REMARQUE : le certificat doit être installé pour Internet Explorer pour prouver que le certificat de votre site est bien celui de l'autorité de certification racine créé lorsque vous avez installé Certificate Server et non le certificat que vous venez seulement de créer.

Pour les besoins de ce document, téléchargez le certificat à l'aide de l'interface Certificat de serveur Web, que vous trouverez à l'adresse suivante : http://<votre_nom_serveur>/certsrv/. Une fois la page d'accueil affichée, sélectionnez Récupérer le certificat de l'autorité de certification ou la liste des révocations de certificats, puis cliquez sur Suivant.

Deux choix s'offrent à vous :
  • Installation de ce chemin d'accès de certification de l'autorité de certification. Si vous installez le certificat de l'autorité de certification racine dans le navigateur auquel vous êtes actuellement connecté, cliquez sur le lien Installer ce chemin d'accès de certification de l'autorité de certification, et le certificat de l'autorité de certification racine est automatiquement installé dans la liste Autorités de certification racines de confiance de votre navigateur Internet Explorer.

    Une fois l'installation terminée, une page de confirmation s'affiche. - ou -

  • Téléchargement d'un certificat de l'autorité de certification. Pour installer le certificat de l'autorité de certification racine dans la liste des autorités de certification racine d'un autre navigateur Internet Explorer, vous pouvez le télécharger et l'installer comme suit :
    1. Cliquez sur Téléchargez un certificat de l'autorité de certification.
    2. Sélectionnez Enregistrer le fichier sur le disque.
    3. Après avoir accédé à l'emplacement dans lequel vous avez enregistré le certificat de l'autorité de certification racine, double-cliquez sur le certificat pour ouvrir la fenêtre Propriétés associée à ce certificat.
    4. Cliquez sur Installer le certificat pour démarrer l'Assistant Importation de certificat. Cliquez sur Suivant pour continuer.
    5. Sélectionnez Placer tous les certificats dans le magasin suivant.
    6. Cliquez sur Parcourir, sélectionnez Autorités de certification racines de confiance, puis cliquez sur Suivant.
    7. Vérifiez les paramètres, puis cliquez sur Terminer.

      Le message suivant s'affiche :
      L'importation s'est terminée correctement.
    8. Cliquez sur OK, pour faire disparaître ce message, puis cliquez sur OK pour fermer la fenêtre Propriétés.
    Pour voir si l'avertissement de l'autorité de certification racine de confiance réapparaît, fermez et rouvrez votre navigateur, puis ouvrez le site Web suivant :
    https://<mon_site_Web_sécurisé>/Postinfo.html
    REMARQUE : la page Postinfo.html est une page HTML standard qui se trouve à la racine du site Web par défaut.

    Si vous réussissez à ouvrir ce site, c'est que vous avez correctement ajouté votre autorité de certification racine à la liste Autorités de certification racines de confiance dans votre navigateur Internet Explorer.

Références

Pour plus d'informations sur l'utilisation des certificats avec IIS 5.0, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
232136 Comment faire pour sauvegarder un certificat de serveur dans Internet Information Services 5.0
Résumé : lorsque vous utilisez IIS 5.0, vous pouvez souhaiter sauvegarder vos certificats de serveur. Windows 2000 permet de le faire facilement grâce au nouveau composant logiciel enfichable Certificats.

232137 Comment faire pour importer un certificat de serveur utilisable dans Internet Information Services 5.0
Résumé : Lorsque vous utilisez IIS 5.0, vous pouvez vouloir restaurer un certificat de serveur (par exemple, si vous migrez un site Web vers un autre serveur Web d'une batterie de serveurs Web). Cette tâche est très simple à exécuter grâce à l'Assistant Certificat de site Web et l'Assistant Importation du Gestionnaire de certificats qui sont inclus dans Windows 2000 et IIS 5.0.
248107 Création de certificats de serveur grâce à des formulaires Web de services de certificats
Résumé : lorsque vous activez des communications sécurisées comme SSL et TLS (sécurité de couche de transport) sur un ordinateur, vous devez tout d'abord obtenir un certificat de serveur. L'intégration des certificats dans Windows 2000 et les nouveaux ajouts dans IIS 5.0 offrent plusieurs moyens d'obtenir un certificat de serveur.
227888 Importation d'un fichier de sauvegarde principal utilisable dans Internet Information Services 5.0
Résumé : après avoir installé IIS 5.0, vous pouvez souhaiter importer un fichier de sauvegarde principal à partir d'une version plus ancienne de Internet Information Server (IIS). En procédant ainsi, vous pouvez utiliser des capacités de SSL sur votre nouveau serveur (et remplacer les anciennes).
201255 Comment faire pour activer SGC sur Internet Information Server
Résumé : cet article décrit comment demander et activer SGC (Server Gated Cryptography) sur un ordinateur qui exécute Internet Information Server (IIS).
295298 INFO : IIS 5 : En quoi consiste la vérification des demandes en attente ?
Résumé : cet article décrit brièvement ce qui se produit lorsqu'une demande de certificat est soumise à Certificate Services 2.0 par le biais de pages Web des services de certificats et ce qui se produit lorsque vous affichez vos demandes en attente sur les pages Web des services de certificats.
323470 Comment faire pour créer un répertoire de publication WebDAV sécurisé
Résumé : cet article étape par étape décrit comment créer un répertoire de publication (Web Distributed Authoring and Versioning) sécurisé.
313071 Comment faire pour configurer des listes de certificats de confiance dans Internet Information Services 5.0
Résumé : cet article étape par étape décrit comment créer et configurer des CTL (listes de certificats de confiance) à l'aide de l'Assistant Liste de certificats de confiance dans IIS version 5.0.

Propriétés

Numéro d'article: 290625 - Dernière mise à jour: lundi 23 janvier 2006 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
Mots-clés : 
kbhowto kbhowtomaster KB290625
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com