Comment faire pour implémenter SSL dans IIS


Résumé


Internet a ouvert de nouvelles façons pour les entreprises à communiquer, à la fois en interne et en externe. Une meilleure communication entre employés, fournisseurs, clients et permet à une organisation réduire les coûts, produits sur le marché plus rapidement et créer de meilleures relations client. Cette communication améliorée nécessite--parfois--transmet des informations sensibles sur Internet et les intranets. Il devient donc impératif de pouvoir effectuer la communication privée, inviolable avec parties connues. Pour permettre cela, les entreprises peuvent construire une infrastructure sécurisée basée sur la cryptographie à clé publique à l’aide de certificats numériques avec des technologies telles que SSL Secure Sockets Layer (). Ce guide étape par étape explique comment configurer SSL sur un ordinateur d’Information Services (IIS).

Configuration requise

Les éléments suivants décrivent le matériel recommandé, logiciel, infrastructure réseau, compétences et connaissances et les service packs dont vous aurez besoin :
  • Windows 2000 Server, Advanced Server ou Professionnel, avec Internet Information Services (IIS) version 5.0 et Microsoft Certificate Server version 2.0 installé et configuré.
  • Windows Server 2003, Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition ou ordinateur avec Internet Information Services (IIS) 6.0 et les Services de certificats Windows Server 2003 Web Edition et configuré.
Si l’ordinateur qui héberge le serveur de certificats n’est pas le même ordinateur que celui qui a IIS, vous avez besoin d’un réseau valide ou une connexion Internet sur le serveur qui héberge le serveur de certificats.

Créer une demande de certificat

Le serveur Web doit d’abord faire une demande de certificat. Pour ce faire, procédez comme suit :
  1. Démarrez Internet Service Manager (ISM), qui charge le composant logiciel enfichable Internet Information Server pour Microsoft Management Console (MMC). Pour ce faire, cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet ou le Gestionnaire des Services Internet (IIS).
  2. Double-cliquez sur le nom du serveur afin de vous voir tous les sites Web. Dans IIS 6.0, développez Sites Web.
  3. Faites un clic droit sur le site Web sur lequel vous souhaitez installer le certificat, puis cliquez sur Propriétés.
  4. Cliquez sur l’onglet Sécurité de répertoire , puis cliquez sur Certificat de serveur dans Communications sécurisées pour démarrer l’Assistant certificat de serveur Web.
  5. Dans IIS 6.0, cliquez sur suivant. Si vous utilisez IIS 5.0, passez à l’étape 6.
  6. Sélectionnez créer un nouveau certificat et cliquez sur suivant.
  7. Sélectionnez préparer la demande maintenant, mais l’envoyer ultérieurement , cliquez sur suivant.
  8. Tapez un nom pour le certificat. Vous souhaiterez peut-être faire correspondre le nom du certificat pour le nom du site Web. À présent, sélectionnez une longueur en bits ; plus la longueur en bits, plus le chiffrement du certificat. Sélectionnez Server Gated Cryptography si vos utilisateurs peuvent provenir de pays avec restrictions de cryptage.
  9. Tapez le nom de votre organisation et l’unité d’organisation (par exemple, MyWeb et développement). Cliquez sur suivant.
  10. Tapez le nom de domaine pleinement qualifié (FQDN) ou le nom du serveur comme nom commun. Si vous créez un certificat qui sera utilisé sur Internet, il est préférable d’utiliser un nom de domaine complet (par exemple, www.MyWeb.com). Cliquez sur suivant.
  11. Entrez les informations concernant votre emplacement, puis cliquez sur suivant.
  12. Tapez le nom de chemin d’accès et de fichier pour enregistrer les informations sur le certificat, puis cliquez sur suivant pour continuer. Remarque Si vous tapez l’autre chose que le nom et l’emplacement par défaut, n’oubliez pas de noter le nom et emplacement que vous choisissez, car vous devrez accéder à ce fichier dans les étapes ultérieures.
  13. Vérifiez les informations que vous avez tapé, puis cliquez sur suivant pour terminer le processus et créer la demande de certificat.

Soumettre une demande de certificat

La demande de certificat que vous venez de créer doit être soumise à une autorité de certification (CA). Cela peut être votre propre serveur avec Certificate Server 2.0 est installé ou d’une autorité de certification telle que VeriSign. Contactez le fournisseur de certificats de votre choix et déterminer le niveau de certificat pour répondre à vos besoins. Il existe différentes méthodes d’envoi de votre demande. Contactez l’autorité de certification de votre choix pour demander et recevoir votre certificat. Vous pouvez créer votre propre certificat avec Certificate Server 2.0, mais vos clients doivent implicitement vous faire confiance en tant que l’autorité de certification. Les étapes suivantes supposent que vous utilisez Certificate Server 2.0 comme fournisseur de certificats. Remarque L’Assistant certificat de IIS seulement reconnaît le modèle de serveur Web par défaut. Lorsque vous sélectionnez une autorité de certification d’entreprise en ligne, l’autorité apparaîtra pas sauf si l’autorité de certification utilise le modèle de serveur Web par défaut.
  1. Ouvrez un navigateur et accédez à http://Votre_nom_serveur_web/CertSrv /.
  2. Dans IIS 5.0, sélectionnez demander un certificat , puis cliquez sur suivant. Dans IIS 6.0, cliquez sur demander un certificat.
  3. Dans IIS 5.0, sélectionnez Demande avancée , puis cliquez sur suivant. Dans IIS 6.0, cliquez sur demande de certificat avancée.
  4. Dans IIS 5.0, sélectionnez soumettre une demande de certificat à l’aide de Base64 et cliquez sur suivant. Dans IIS 6.0, cliquez sur Envoyer une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande de renouvellement en utilisant un fichier PKCS #7 codé en base 64.
  5. Dans Microsoft Notepad, ouvrez le document de demande que vous avez créé dans la section « créer une demande de certificat ». Dans IIS 6.0, vous pouvez également cliquer sur Parcourir pour insérer un fichier.
  6. Copiez le contenu du document. Le contenu doit ressembler à ceci :
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST------- 
    Remarque Si vous enregistrez le document avec le nom par défaut et un emplacement, il se trouve sur C:\Certreq.txt. Remarque Assurez-vous de copier tout le contenu comme illustré.
  7. Coller le contenu du document dans la zone de texte du formulaire Web Demande de certificat crypté en Base64 .
  8. Sous Modèle de certificat, sélectionnez Serveur Web ou l’utilisateur, puis cliquez sur Envoyer.
  9. Si le Serveur de certificats est défini à toujours fournir le certificat, vous pouvez accéder au certificat immédiatement. Pour ce faire, procédez comme suit :
    1. Cliquez sur Télécharger un certificat d’autorité de certification (ne cliquez pas sur le chemin d’accès de télécharger un certificat d’autorité de certification ou de Télécharger la chaîne du certificat).
    2. Lorsque vous y êtes invité, sélectionnez Enregistrer ce fichier sur le disque et enregistrez le certificat sur votre bureau ou un autre emplacement que vous n’oublierez pas. Vous pouvez maintenant passer directement à la « installer le certificat et configurer un site Web SSL » section.

Émission et téléchargement d’un certificat

Pour émettre un certificat dans Certificate Server, procédez comme suit :
  1. Ouvrez le composant logiciel enfichable MMC de l’autorité de certification. Pour ce faire, cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur Autorité de certification.
  2. Dans IIS 5.0, développez Autorité de certification , puis cliquez sur le dossier Demandes en attente . Vos demandes de certificat en attente s’affichent dans le volet de droite. Dans IIS 6.0, développez le nom du serveur.
  3. Cliquez sur la demande de certificat en attente que vous venez de soumettre et sélectionnez Toutes les tâches, puis cliquez sur délivrer. Remarque Après avoir sélectionné le problème, le certificat n’est plus affiché dans cette fenêtre et ce dossier. Il se trouve maintenant dans le dossier certificats délivrés.
  4. Après avoir délivré (et autorisé) le certificat, vous pouvez revenir à l’interface Web des serveurs de certificats pour sélectionner et télécharger le certificat. Pour ce faire, procédez comme suit :
    1. Accédez à http://Votre_nom_serveur_web/CertSrv /.
    2. Sur la page par défaut, sélectionnez vérifier un certificat en attente , puis cliquez sur suivant. Dans IIS 6.0, cliquez sur Afficher le statut d’une demande de certificat en attente.
    3. Sélectionnez votre certificat en attente, puis cliquez sur suivant pour passer à la page de téléchargement.
    4. Sur la page de téléchargement, cliquez sur Télécharger un certificat d’autorité de certification (ne cliquez pas sur le chemin d’accès de télécharger un certificat d’autorité de certification ou de Télécharger la chaîne du certificat).
    5. Lorsque vous y êtes invité, sélectionnez Enregistrer ce fichier sur le disque et enregistrez le certificat sur votre bureau ou un autre emplacement que vous n’oublierez pas.

Installer le certificat et configurer un site Web SSL

Pour installer le certificat, procédez comme suit :
  1. Ouvrez le Gestionnaire des Services Internet et développez le nom du serveur de sorte que vous pouvez afficher les sites Web.
  2. Sur le site Web pour lequel vous avez créé la demande de certificat et cliquez sur Propriétés.
  3. Cliquez sur l’onglet Sécurité de répertoire . Sous Communications sécurisées, cliquez sur Certificat de serveur. Cette opération démarre l’Assistant d’Installation de certificat. Cliquez sur suivant pour continuer.
  4. Sélectionnez traiter la demande en attente et installer le certificat et cliquez sur suivant.
  5. Tapez l’emplacement du certificat que vous avez téléchargé dans la section « Problème et téléchargement d’un certificat », puis cliquez sur suivant. L’Assistant affiche le résumé du certificat. Vérifiez que les informations sont correctes, puis cliquez sur suivant pour continuer.
  6. Cliquez sur Terminer pour terminer le processus.

Configurer et tester le certificat

Pour configurer et tester le certificat, procédez comme suit :
  1. Sous l’onglet Sécurité de répertoire , sous Communications sécurisées, notez qu’il existe désormais trois options disponibles. Pour définir le site Web pour exiger des connexions sécurisées, cliquez sur Modifier. La boîte de dialogue Communications sécurisées s’affiche.
  2. Sélectionnez Requérir un canal sécurisé (SSL) et cliquez sur OK.
  3. Cliquez sur Appliquer , puis sur OK pour fermer la feuille de propriétés.
  4. Accédez au site et vérifiez qu’il fonctionne. Pour ce faire, procédez comme suit :
    1. Accéder au site via HTTP en tapant http://localhost/Postinfo.html dans le navigateur. Vous recevez un message d’erreur semblable au suivant :
      HTTP 403.4 - interdit : SSL requis.
    2. Essayez de naviguer sur la même page Web à l’aide d’une connexion sécurisée (HTTPS) en tapant https://localhost/postinfo.html dans le navigateur. Vous pouvez recevoir une alerte de sécurité indiquant que le certificat n’est pas à partir d’une racine de confiance CA. Cliquez sur Oui pour continuer à la page Web. Si la page s’affiche, vous avez correctement installé votre certificat.

Résolution des problèmes

  • L’utilisation de SSL altère les performances entre les navigateurs et les serveurs HTTP. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
    150031 utilisation de SSL crée une surcharge de performance pour les navigateurs
  • Lorsque vous utilisez Microsoft Visual InterDev version 6.0 pour créer des sites Web avec SSL, il existe plusieurs problèmes et restrictions à prendre en compte. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
    238662 à l’aide de Visual InterDev et Secure Sockets Layer
  • Cet article traite uniquement des certificats de serveur. Un certificat de serveur permet aux utilisateurs d’authentifier votre serveur, de vérifier la validité du contenu Web et d’établir une connexion sécurisée. Si vous souhaitez authentifier les utilisateurs qui accèdent à votre site Web, vous pouvez envisager l’utilisation des certificats clients. Un certificat client standard contient plusieurs éléments d’informations : l’identité de l’utilisateur, l’identité de l’autorité de certification, une clé publique qui est utilisée pour établir des communications sécurisées, ainsi que les informations de validation, par exemple une date d’expiration et numéro de série.

RÉFÉRENCES

Pour plus d’informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
228991 comment créer et installer un certificat SSL dans Internet Information Server 4.0
Description de 257591 de la négociation de la couche de Sockets sécurisée (SSL)
299525 comment installer SSL à l’aide de IIS 5.0 et Certificate Server 2.0
298805 comment activer SSL pour tous les clients qui interagissent avec votre site Web dans Internet Information Services
Pour plus d’informations, consultez le site Web de Microsoft Developer Network (MSDN) à l’adresse suivante :