Configurer des certificats intermédiaires sur un ordinateur qui exécute IIS pour l’authentification du serveur

  • Article

Cet article explique comment configurer des certificats intermédiaires sur un ordinateur qui exécute IIS pour l’authentification serveur.

Version du produit d’origine : Internet Information Services
Numéro de la base de connaissances d’origine : 954755

Résumé

Lorsqu’un ordinateur client tente d’établir des connexions SSL (Secure Sockets Layer) authentifiées par le serveur avec un serveur web IIS, il valide la chaîne de certificats du serveur. Pour réussir cette validation de certificat, les certificats intermédiaires dans la chaîne de certificats du serveur doivent être configurés correctement sur le serveur. Sinon, l’authentification du serveur risque d’échouer. Elle s’applique également à tout programme qui utilise SSL ou TLS (Transport Layer Security) pour l’authentification.

Impact

Les ordinateurs clients ne peuvent pas se connecter au serveur qui exécute IIS. Étant donné que les serveurs n’ont pas les certificats intermédiaires correctement configurés, les ordinateurs clients ne peuvent pas authentifier ces serveurs.

Nous vous recommandons de configurer correctement les certificats intermédiaires sur le serveur.

Détails techniques

La validation de certificat X.509 se compose de plusieurs phases, notamment la découverte du chemin de certificat et la validation du chemin d’accès.

Dans le cadre de la découverte du chemin de certificat, les certificats intermédiaires doivent se trouver pour générer le chemin du certificat jusqu’à un certificat racine approuvé. Un certificat intermédiaire est utile pour déterminer si un certificat a finalement été émis par une autorité de certification racine valide. Ces certificats peuvent être obtenus à partir du cache ou du magasin de certificats sur l’ordinateur client. Les serveurs peuvent également fournir les informations à l’ordinateur client.

Dans la négociation SSL, le certificat de serveur est validé sur le client. Dans ce cas, le serveur fournit les certificats à l’ordinateur client, ainsi que les certificats d’émission intermédiaires que l’ordinateur client utilise pour générer le chemin du certificat. La chaîne de certificats complète, à l’exception du certificat racine, est envoyée à l’ordinateur client.

Une chaîne de certificats d’un certificat d’authentification serveur configuré est générée dans le contexte de l’ordinateur local. De cette façon, IIS détermine l’ensemble de certificats qu’il envoie aux clients pour TLS/SSL. Pour configurer correctement les certificats intermédiaires, ajoutez-les au magasin de certificats d’autorité de certification intermédiaire dans le compte d’ordinateur local sur le serveur.

Supposons qu’un opérateur de serveur installe un certificat SSL avec les certificats d’autorité de certification émettrice appropriés. Lorsque le certificat SSL est renouvelé ultérieurement, l’opérateur de serveur doit s’assurer que les certificats émettrices intermédiaires sont mis à jour en même temps.

Configurer des certificats intermédiaires

  1. Ouvrez le composant logiciel enfichable Certificats Microsoft Management Console (MMC). Pour ce faire, procédez comme suit :
    1. À l’invite de commandes, tapez Mmc.exe.
    2. Si vous n’exécutez pas le programme en tant qu’administrateur intégré, vous êtes invité à autoriser l’exécution du programme. Dans la boîte de dialogue Sécurité Windows, cliquez sur Autoriser.
    3. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.
    4. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , sélectionnez le composant logiciel enfichable Certificats dans la liste Composants logiciels enfichables disponibles . Sélectionnez ensuite Ajouter>OK.
    5. Dans la boîte de dialogue Composant logiciel enfichable Certificats , sélectionnez Compte d’ordinateur, puis suivant.
    6. Dans la boîte de dialogue Sélectionner un ordinateur , sélectionnez Terminer.
    7. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , sélectionnez OK.
  2. Pour ajouter un certificat intermédiaire, procédez comme suit :
    1. Dans le composant logiciel enfichable Certificats MMC, développez Certificats, cliquez avec le bouton droit sur Autorités de certification intermédiaires, pointez sur Toutes les tâches, puis sélectionnez Importer.
    2. Dans l’Assistant Importation de certificat, sélectionnez Suivant.
    3. Dans la page Fichier à importer , tapez le nom de fichier du certificat que vous souhaitez importer dans la zone Nom de fichier . Ensuite, sélectionnez Suivant.
    4. Sélectionnez Suivant, puis terminez l’Assistant Importation de certificat.

References

Pour plus d’informations sur la façon dont la CryptoAPI fonction génère des chaînes de certificats et valide la révocation status, consultez Résolution des problèmes d’état et de révocation des certificats.