Numéro d'article: 307267 - Dernière mise à jour: lundi 16 février 2004 - Version: 3.0

COMMENT FAIRE : Sécuriser des services Web XML avec SSL

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.
Ancien nº de publication de cet article : F307267

Sommaire

Agrandir tout | Réduire tout

Résumé

Cet article pas à pas décrit la configuration d'un service Web XML existant pour qu'il utilise un canal crypté avec une connexion SSL (Secure Socket Layer).

Retour au début

Configuration de votre serveur Web pour prendre en charge SSL

Votre service Web XML sera exécuté sous Internet Information Server (IIS) et reposera sur ce dernier pour fournir la prise en charge SSL. Pour cette raison, vous devez en premier lieu installer un certificat de serveur SSL sur votre serveur de manière à pouvoir activer la prise en charge SSL.
  1. Si vous avez acheté un certificat de serveur auprès d'une autorité de certification tierce ou si vous disposez d'une autorité de certification d'entreprise, passez à l'étape suivante. Si ce n'est pas le cas, installez les services de certificats. Pour ce faire, démarrez l'outil Ajout/Suppression de programmes, cliquez sur Ajouter/Supprimer des composants Windows, puis activez la case à cocher Services de certificats.
  2. Exécutez l'Assistant Certificat de serveur Web. Pour ce faire, démarrez le Gestionnaire des services Internet, cliquez avec le bouton droit sur le site virtuel pour lequel vous souhaitez obtenir le certificat, cliquez sur Propriétés, sur l'onglet Sécurité du répertoire, puis sur Certificat de serveur.
  3. Dans l'Assistant Certificat de serveur Web, cliquez sur Créer un certificat, puis cliquez sur Suivant.
  4. Cliquez sur Préparer la demande, mais ne pas l'envoyer maintenant, puis cliquez sur Suivant.
  5. Indiquez les autres informations en fonction de vos besoins dans l'Assistant. Lorsque vous êtes invité à fournir le nom commun du certificat, assurez-vous de spécifier le nom de l'ordinateur hôte sur lequel vous exécutez votre service Web XML.
  6. Une fois l'Assistant terminé, une demande de certificat est enregistrée dans le fichier de votre choix. Par défaut, il s'agit du fichier c:\Certreq.txt.
  7. Si vous soumettez votre certificat à une autorité de certification différente, faites-le à ce stade en utilisant les procédures appropriées. Lorsque vous recevez votre fichier de certificat, ouvrez-le, puis passez à l'étape 16. Si vous utilisez vos propres services de certificats pour obtenir le certificat, naviguez jusqu'à l'adresse http://localhost/certsrv et sélectionnez l'option Demander un certificat.
  8. Sur la page Type de la demande, précisez qu'il s'agit d'une Demande avancée, puis cliquez sur Suivant.
  9. Cliquez sur Soumettre une demande de certificat en utilisant un fichier crypté en Base64 PKCS #10 ou une demande de renouvellement en utilisant un fichier crypté en Base64 PKCS #7, puis cliquez sur Suivant.
  10. Sur la page Soumettre une demande enregistrée, cliquez sur Parcourir pour insérer un fichier, spécifiez le fichier que vous avez créé à l'étape 6, cliquez sur Lire, puis sur Soumettre. Votre demande a été soumise et vous devez maintenant l'approuver.
  11. Dans le menu Programmes, sous Outils d'administration, démarrez la console de gestion Autorité de certification.
  12. Sous le nom de votre autorité de certification, sélectionnez le dossier Demandes en attente. Cliquez avec le bouton droit sur la demande de certificat que vous venez de soumettre, pointez sur Toutes les tâches, puis cliquez sur Délivrer. Fermez la console de gestion Autorité de certification.
  13. Dans votre navigateur, retournez à l'adresse http://localhost/certsrv, cliquez sur Demandes en attente, puis cliquez sur Suivant.
  14. Assurez-vous que la demande que vous venez de créer est sélectionnée, puis cliquez sur Suivant.
  15. Sur la page Certificat émis, choisissez l'un des systèmes de codage, puis cliquez sur Télécharger le certificat de l'Autorité de certification. Les pages de propriétés du certificat sont affichées. Cliquez sur l'onglet Général, puis sur Installer le certificat.
  16. L'Assistant Importation de certificat démarre. Acceptez tous les paramètres par défaut sur les pages de l'Assistant jusqu'à ce que vous arriviez à la fin de celui-ci.
  17. Retournez au Gestionnaire des services Internet, cliquez avec le bouton droit sur le site virtuel pour lequel vous avez créé le certificat, cliquez sur Propriétés, sur l'onglet Sécurité du répertoire, puis sur Certificat de serveur.
  18. Cliquez sur Attribuer un certificat existant pour afficher une liste contenant votre certificat. Cliquez sur votre certificat, puis sur Suivant. Terminez l'Assistant Certificat de serveur Web. Votre certificat de serveur SSL est à présent installé.
Retour au début

Installation d'un certificat d'une autorité de certification sur le client

Si vous avez utilisé vos propres services de certificats, vous devez installer le certificat de votre autorité de certification sur le client en tant qu'autorité de certification racine de confiance. Pour ce faire, procédez comme suit :
  1. Naviguez jusqu'à l'adresse http://monordinateur/certsrv où monordinateur correspond au nom de l'hôte où se trouvent les services de certificats qui ont émis le certificat de serveur.
  2. Cliquez sur Récupérer le certificat d'Autorité de certification ou la liste de révocation de certificats, puis cliquez sur Suivant.
  3. Cliquez sur le lien Installez ce chemin d'accès de certification d'Autorité de certification. Le certificat devrait être correctement installé.
Si vous envisagez d'accéder à votre service Web XML à partir d'une page ASP, vous devez ajouter le certificat de l'autorité de certification au magasin racine de confiance de l'ordinateur :
  1. Répétez les deux premières étapes ci-dessus, cliquez sur Télécharger le certificat de l'Autorité de certification, puis enregistrez-le dans un fichier sur votre ordinateur local.
  2. Démarrez Mmc.exe.
  3. Cliquez sur Console, puis sur Ajouter/Supprimer un composant logiciel enfichable.
  4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats, puis sur Ajouter.
  6. Cliquez sur Le compte de l'ordinateur, puis sur Suivant.
  7. Cliquez sur Ordinateur local, puis sur Terminer.
  8. La liste des catégories de certificats de l'ordinateur local doit s'afficher dans la fenêtre du composant logiciel enfichable.
  9. Cliquez sur OK pour retourner dans la fenêtre Racine de la console.
  10. Dans l'arborescence, ouvrez la liste des autorités de certification racines de confiance.
  11. Pour ajouter à la liste le certificat de l'autorité de certification qui a émis votre certificat de serveur, cliquez sur Action, sur Toutes les tâches, puis sur Importer, ou faites glisser le certificat dans la liste.
Retour au début

Modification des fichiers WSDL HTTP en HTTPS

  1. Modifiez les fichiers WSDL pour votre service de sorte que l'adresse de votre service Web commence par https au lieu de http. Vous devez vous assurer que la copie du fichier WSDL utilisée par votre client commence également par https.
  2. Pour les projets Microsoft Visual Studio .NET, lorsque vous ajoutez une référence Web, vous pouvez spécifier une URL https comme emplacement du service Web XML. Si vous n'avez pas procédé ainsi, vous pouvez modifier la classe créée par Microsoft Visual Studio .NET qui enveloppe le service Web et la ligne de code définissant l'URL. Pour un projet C#, la ligne de code, une fois modifiée, peut ressembler à ceci : 
    this.Url = "https://mymachine/MyWS/Service1.asmx";
  3. Il est à présent possible d'accéder à votre service Web XML via SSL.
Retour au début

Vérification du fonctionnement

Pour déterminer si SSL est correctement configuré, essayez de naviguer jusqu'à votre serveur en utilisant une URL https telle que https://mon_ordinateur/test/test.asmx.

Votre configuration est correcte si vous réussissez à naviguer vers l'emplacement sans qu'un message d'erreur ne s'affiche dans Internet Explorer. Vous pouvez alors essayer d'accéder à votre service Web par programmation.

Retour au début

Mise en place d'un accès uniquement via SSL

Si vous souhaitez vous assurer que seules les demandes SSL sont acceptées par votre service Web, vous pouvez configurer, dans le Gestionnaire des services Internet, le répertoire virtuel où réside votre service Web XML pour qu'il utilise uniquement SSL :
  1. Cliquez avec le bouton droit sur le répertoire virtuel où réside votre service Web XML, puis cliquez sur Propriétés.
  2. Cliquez sur l'onglet Sécurité du répertoire, puis cliquez sur Modifier sous Communications sécurisées.
  3. Cliquez sur Exiger un canal sécurisé (SSL), puis cliquez deux fois sur OK.
Retour au début

RÉFÉRENCES

Consultez la rubrique " Configuration de SSL sur votre serveur " dans la documentation de Microsoft Internet Information Server.

















Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Internet Information Services 5.0
Retour au début
Mots-clés : 
kbhowtomaster kbtool kbenv kbnetwork KB307267
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.