Activer SSL pour tous les clients qui interagissent avec votre site web dans IIS

  • Article

Cet article explique comment activer ssl (Secure Sockets Layer) pour tous les clients qui interagissent avec votre site web dans Microsoft Internet Information Services (IIS).

Version du produit d’origine : Internet Information Services
Numéro de la base de connaissances d’origine : 298805

Résumé

Cet article contient les rubriques suivantes :

  • Comment configurer et activer des certificats de serveur afin que vos clients puissent être certains que votre site Web est valide et que toutes les informations qu’ils vous envoient restent privées et confidentielles.
  • Comment utiliser des certificats tiers pour activer ssl (Secure Sockets Layer), ainsi qu’une vue d’ensemble générale du processus utilisé pour générer une demande de signature de certificat (CSR), qui est utilisée pour obtenir un certificat tiers.
  • Comment activer la connectivité SSL pour votre site web.
  • Comment appliquer SSL pour toutes les connexions et définir la longueur de chiffrement requise entre vos clients et votre site web.

Vous pouvez utiliser les fonctionnalités de sécurité SSL de votre serveur web pour deux types d’authentification. Vous pouvez utiliser un certificat de serveur pour permettre aux utilisateurs d’authentifier votre site Web avant de transmettre des informations personnelles, telles qu’un numéro de carte de crédit. En outre, vous pouvez utiliser des certificats clients pour authentifier les utilisateurs qui demandent des informations sur votre site web.

Cet article part du principe que vous allez utiliser une autorité de certification tierce pour fournir l’authentification de votre serveur web.

Pour activer la vérification des certificats de serveur SSL et fournir le niveau de sécurité souhaité par vos clients, vous devez obtenir un certificat auprès d’une autorité de certification tierce. Les certificats émis à votre organization par une autorité de certification tierce sont généralement liés au serveur Web, et plus particulièrement au site Web auquel vous devez lier SSL. Vous pouvez créer votre propre certificat avec le serveur IIS, mais si vous le faites, vos clients doivent implicitement vous approuver en tant qu’autorité de certification.

Cet article repose sur la configuration suivante :

  • Vous avez installé IIS.
  • Vous avez créé et publié le site Web que vous souhaitez sécuriser avec SSL.

Obtenir un certificat

Pour commencer le processus d’obtention du certificat, vous devez générer une demande de signature de certificat. Vous effectuez cette opération via le console de gestion IIS ; par conséquent, IIS doit être installé avant de pouvoir générer une demande de signature de certificat. Une demande de signature de certificat est essentiellement un certificat que vous générez sur votre serveur qui valide les informations spécifiques à l’ordinateur sur votre serveur lorsque vous demandez un certificat à une autorité de certification tierce. La demande de signature de certificat est simplement un message texte chiffré qui est chiffré avec une paire de clés publique/privée.

En règle générale, les informations suivantes sur votre ordinateur sont incluses dans la demande de signature de certificat que vous générez :

  • Organisation
  • Unité d’organisation
  • Pays/région
  • État/province
  • Ville/localité
  • Nom commun

Remarque

Le nom commun est généralement composé du nom de votre ordinateur hôte et du domaine auquel il appartient, par exemple xyz.com. Dans ce cas, l’ordinateur fait partie du domaine .com et est nommé XYZ. Il peut s’agir du serveur racine de votre domaine d’entreprise ou simplement d’un site Web.

Générer la demande de signature de certificat

  1. Accédez à la console MMC (Microsoft Management Console) IIS. Pour ce faire, cliquez avec le bouton droit sur Poste de travail , puis sélectionnez Gérer. La console de gestion de l’ordinateur s’ouvre. Développez la section Services et application . Recherchez IIS et développez la console IIS.

  2. Sélectionnez le site Web spécifique sur lequel vous souhaitez installer un certificat de serveur. Cliquez avec le bouton droit sur le site, puis sélectionnez Propriétés.

  3. Sélectionnez l’onglet Sécurité de l’annuaire . Dans la section Communication sécurisée , sélectionnez Certificat de serveur. Cela démarre l’Assistant Certificat de serveur web. Sélectionnez Suivant.

  4. Sélectionnez Créer un nouveau certificat , puis Suivant.

  5. Sélectionnez Préparer la demande maintenant, mais envoyez-la ultérieurement, puis sélectionnez Suivant.

  6. Dans le champ Nom , entrez un nom dont vous pouvez vous souvenir. La valeur par défaut est le nom du site web pour lequel vous générez la demande de signature de certificat.

    Remarque

    Lorsque vous générez la demande de signature de certificat, vous devez spécifier une longueur de bits. La longueur de bits de la clé de chiffrement détermine la force du certificat chiffré que vous envoyez à l’autorité de certification tierce. Plus la longueur de bits est élevée, plus le chiffrement est fort. La plupart des autorités de certification tierces préfèrent un minimum de 1 024 bits.

  7. Dans la section Informations sur l’organisation, entrez les informations de votre organization et de votre unité d’organisation. Cela doit être exact, car vous présentez ces informations d’identification à une autorité de certification tierce et vous devez vous conformer à la licence du certificat. Sélectionnez Suivant pour accéder à la section Nom commun de votre site .

  8. La section Nom commun de votre site est chargée de lier le certificat à votre site Web. Pour les certificats SSL, entrez le nom de l’ordinateur hôte avec le nom de domaine. Pour les serveurs intranet, vous pouvez utiliser le nom NetBIOS de l’ordinateur qui héberge le site. Sélectionnez Suivant pour accéder aux informations géographiques.

  9. Entrez vos informations de pays ou de région, d’état ou de province et de ville ou de localité. Épeler complètement votre état ou province et ville ou localité. Et n’utilisez pas d’abréviations. Sélectionnez Suivant.

  10. Enregistrez le fichier en tant que fichier .txt.

  11. Confirmez les détails de votre demande. Sélectionnez Suivant pour terminer, puis quittez l’Assistant Certificat de serveur web.

Demander le certificat

Il existe différentes méthodes d’envoi de votre demande. Contactez le fournisseur de certificats de votre choix pour connaître la méthode à utiliser et déterminer le meilleur niveau de certificat pour vos besoins. Selon la méthode choisie pour envoyer votre demande à l’autorité de certification, vous pouvez envoyer le fichier CSR à l’étape 10 de la section Générer la demande de signature de certificat, ou vous devrez peut-être coller le contenu de ce fichier dans la demande. Ce fichier sera chiffré et contiendra un en-tête et un pied de page pour le contenu. Vous devez inclure à la fois l’en-tête et le pied de page lorsque vous demandez le certificat. Votre CSR doit ressembler à ce qui suit :

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installer le certificat

Une fois que l’autorité de certification tierce a terminé votre demande de certificat de serveur, vous le recevez par e-mail ou par site de téléchargement. Le certificat doit être installé sur le site Web sur lequel vous souhaitez fournir des communications sécurisées.

Pour installer le certificat, procédez comme suit :

  1. Téléchargez ou copiez le certificat que vous avez obtenu de l’autorité de certification sur le serveur web.
  2. Ouvrez la console MMC IIS comme décrit dans la section Génération de la demande de signature de certificat .
  3. Accédez à la boîte de dialogue Propriétés du site web sur lequel vous installez le certificat.
  4. Sélectionnez l’onglet Sécurité de l’annuaire , puis sélectionnez Certificat de serveur. Cela démarre l’Assistant Certificat de serveur web. Sélectionnez Suivant.
  5. Sélectionnez Traiter la demande en attente et installez le certificat, puis sélectionnez Suivant.
  6. Accédez à l’emplacement du certificat que vous avez enregistré à l’étape 1. Sélectionnez Suivant deux fois, puis Terminer.

Appliquer des connexions SSL

Maintenant que le certificat de serveur est installé, vous pouvez appliquer les communications de canal sécurisé SSL avec les clients du serveur Web. Tout d’abord, vous devez activer le port 443 pour sécuriser les communications avec le site Web. Pour cela, procédez comme suit :

  1. Dans la console Gestion de l’ordinateur, cliquez avec le bouton droit sur le site web sur lequel vous souhaitez appliquer SSL, puis sélectionnez Propriétés.
  2. Sélectionnez l’onglet Site web . Dans la section Identification du site web, vérifiez que le champ Port SSL est rempli avec la valeur numérique 443.
  3. Sélectionnez Avancé. Vous devriez voir deux champs. L’adresse IP et le port du site web doivent déjà être répertoriés dans le champ Identités multiples pour ce site web. Sous le champ Identités SSL multiples pour ce site web, sélectionnez Ajouter si le port 443 n’est pas déjà répertorié. Sélectionnez l’adresse IP du serveur et tapez la valeur numérique 443 dans le champ Port SSL. Sélectionnez OK.

Maintenant que le port 443 est activé, vous pouvez appliquer des connexions SSL. Pour cela, procédez comme suit :

  1. Sélectionnez l’onglet Sécurité de l’annuaire . Dans la section Communication sécurisée , Modifier est désormais disponible. Sélectionnez Modifier.

  2. Sélectionnez Exiger un canal sécurisé (SSL).

    Remarque

    Si vous spécifiez un chiffrement 128 bits, les clients qui utilisent un navigateur de puissance 40 bits ou 56 bits ne pourront pas communiquer avec votre site, sauf s’ils mettent à niveau leur puissance de chiffrement.

  3. Ouvrez votre navigateur et essayez de vous connecter à votre serveur web à l’aide du protocole http:// standard. Si SSL est appliqué, vous recevez le message d’erreur suivant :

    La page doit être consultée sur un canal sécurisé
    La page que vous essayez d’afficher nécessite l’utilisation de « https » dans l’adresse.
    Essayez les opérations suivantes : Réessayez en tapant https:// au début de l’adresse que vous essayez d’atteindre. HTTP 403.4 - Interdit : SSL requis Internet Information Services
    Informations techniques (pour le personnel du support technique) En arrière-plan : cette erreur indique que la page à laquelle vous essayez d’accéder est sécurisée avec SSL (Secure Sockets Layer).

Vous pouvez désormais vous connecter à votre site Web uniquement à l’aide du protocole https:// .