Home site EPFL LoginThis site is in french only !
> windows.epfl.ch

Home Page

Comment ajouter / obtenir / sauvegarder / restaurer un certificat SSL pour IIS 5.x
  

I) Tout d'abord, une petite FAQ :

A quoi sert ce certificat et quand faut-il l'utiliser ?

Ce certificat sert à sécuriser l'échange d'informations entre le client (votre navigateur Web) et le serveur (IIS) au moyen d'un système de cryptage. Vous devriez utiliser une liaison cryptée chaque fois que vous transmettez sur le réseau des informations sensibles (i.e. mot de passe, No de carte de crédit, etc...)

Pourquoi ne pas sécuriser tout le site ?

La procédure d'encryptage charge évidemment plus le serveur, ce qui peut poser des problèmes de montée en charge. Il est préférable de ne sécuriser que ce qui est nécessaire.

Comment repérer d'un coup d'oeil si la page affichée dans le navigateur web est sécurisée ?

Vous trouvez dans la barre de status (la barre qui est tout en bas de la fenêtre de votre navigateur) le symbole cadenas qui est affiché :


MS Internet Explorer
    
Netscape

II) Comment installer un certificat sous IIS ?

  1. Lancez la MMC Internet Services Manager (Start > Program Files > Administrative Tools) et sélectionnez le site à protéger, demandez les propriétés, alllez dans l'onglet Directory Security et cliquez sur Server Certificates :

  2. L'assitant démarre, cliquez sur NEXT, puis sélectionnez Create a new certificate, puis NEXT :


    Pour l'étape suivante, vous n'avez comme choix que Prepare the request now, but send it later et cliquez NEXT
  3. Dans cette étape donnez un nom pour votre certificat (astuce : donnez le nom du site) et sélectionnez l'option Server Gated Cryptography (SGC) certificate :

  4. Ensuite, entrez le nom de l'organisation et de votre unité. ATTENTION : ne mettez que des informations réalistes à cet endroit, ce sont celles-ci que votre client verra s'il demande d'afficher le certificat !

  5. Attention, ce point est TRÈS important, si vous entrez n'importe quoi à cet endroit, votre certificat ne fonctionnera pas !
    Entrez le nom DNS complet de votre site


  6. Entrez les coordonnées géographiques correctes :

  7. Ensuite spécifiez un chemin pour sauver la demande de certificat :

  8. Cliquez sur NEXT, un résumé de votre demande est affichée, cliquez encore une fois sur NEXT, l'assistant vous demande ensuite d'envoyer le fichier précédemment créé à votre autorité de certification :

  9. Voilà la première partie est terminée et vous avez une belle demande de certificat. Vous avez alors deux choix possibles :
    a) Vous avez beaucoup de sous et vous ne voulez surtout pas que vos clients enregistrent le certificat racine de l'EPFL, dans ce cas envoyez ce fichier à une autorité de certification reconnue (p.ex. VeriSign, Thawte, etc...)
    b) Vous êtes à l'EPFL, vous voulez que ça ne vous coûte rien, envoyez ce fichier à cert-auth@epfl.ch
  10. ... le temps passe... si vite ! vous venez de recevoir votre certificat, ouvrez-le avec NOTEPAD.EXE, il devrait ressembler à ça :

    -----BEGIN CERTIFICATE-----
    MIICWTCCAcKgAwIBAgICAL0wDQYJKoZIhvcNOPVArE8wgYcxCzAJBgNVBAYTAkNI

    MQ0wCwZZIOETEwRWYXVkMREwDwYDVQQHEwhMYXVzYW5uZTENMAsGA1UEChMERVBG

    TDElMCMGA1UEAxMcRVBGTCBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTEgMB4GCSqG

    SIb3DQEJARYRY2VydC1hdXRoQGVwZmwuY2gwHhcNMDIwNjI0MTE1MjE5WhcNMDMw

    NjI0MTE1MjE5WjBcMQswCQYDVQQGEwJDSDELMAkGA1UECBMCVkQxETAPBgNVBAcT

    CExhdXNhbm5lMQ0wCwYDVQQKEwRFUEZMMR4wHAYDVQQDExV3ZWJzZWN1cmVkZW1v

    LmVwZmwuY2gwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBANQTac3mvbKFXBuJ

    ry2ARUeZ65BODi+Qyqn+3JIGDN1qmQi1aRNlsmPxFITOV1mgalqk2R1FwWT9Sd37

    BzWfGO+5xJ9E2xLV3E09HzaUNRhPKcBZpprkxqY+dPOIUWlgYc6Hkk8Qu0lwqQwA

    wAQ9yP3ZvME/3Ce7CeRTifiCAt7eST7FAuX7ZZYJKoZIhvcNAQEEBQADgYEASbAN

    7pzxPLboa8iSjnExiUL1HvitBth6ZF+Edy/W5fb8hh0EHiZ9c7nWiBIrNvVSco0U

    7ZH99KjgFAQjnfoANC/E3Kvw7TMJiS+iUYXjHMDI/USlII3JFkgd1VJEK86B4n2b

    O64lErg1ADi+LwpaGz2iOLInUU+EnQ8QRMUwZRs=

    -----END CERTIFICATE-----

    Enregistrez ce fichier sous c:\certif.cer
  11. Lancez la MMC Internet Services Manager (Start > Program Files > Administrative Tools) et sélectionnez le site à protéger, demandez les propriétés, alllez dans l'onglet Directory Security et cliquez sur Server Certificates : (oui-oui, comme la première fois!) mais cette fois vous obtenez une page d'assistant différente, sélectionnez Process the pending request and install the certificate puis cliquez sur NEXT :

     
  12. Entrez ensuite le chemin du certificat que vous venez de recevoir :

  13. Un résumé de votre certificat s'affiche à nouveau, cliquez NEXT et enfin votre certificat est installé ! :

  14. Vous devez maintenant détruire votre demande de certificat et la réponse obtenue de l'autorité de certification, ils ne servent plus à rien !!! Par contre FAITES IMMEDIATEMENT UNE SAUVEGARDE DE VOTRE CERTIFICAT COMME DÉCRIT DANS LE POINT V)

III) Forcer un répertoire en mode sécurisé

  1. Vous pouvez dès maintenant utiliser votre site en mode sécurisé ou non. Si vous voulez exiger qu'une page ou un répertoire ou un répertoire virtuel ne puisse être utilisé qu'en mode sécurisé, affichez les propriétés du répertoire ou de la page et ouvrez l'onglet Directory Security resp. File Security et cliquez sur le bouton Edit... de Secure Communications :

  2. Ensuite sélectionnez la boîte à cocher Require secure channel (SSL), validez et c'est fait !

 

IV) Créer une MMC de gestion des certificats machine

  1. Lancez une MMC (Menu Start > Run > "mmc.exe"),  Menu Console > Add/Remove  Snap-in, cliquez sur Add, choisissez certificates, cliquez sur Add, sélectionnez l'option "Computer Account", bouton NEXT, sélectionnez l'option Local computer (the computer this console is running on) et cliquez sur Finish. Cliquez ensuite sur Close, vous devrier voir ceci :

  2. Cliquez OK. Puis Menu File > Save As > "Computer Cerficates" dans Administrative Tools :

  3. Vous avez maintenant une belle MMC pour gérer vos certificats machine :

V) Faire une sauvegarde d'un certificat

  1. Lancez la MMC crée sous le point IV) : Start > Program Files > Administrative Tools > Computer Certificates. Ouvrez la branche Certificates (Local Computer) > Personal > Certificates et Cliquez sur Certificates :

  2. Cliquez sur le certificat que vous désirez sauvegarder, puis menu Action > All Tasks > Export... L'assistant d'exportation démarre, cliquez sur NEXT , puis Choisissez Yes, export the private key, puis NEXT : 


  3. Sélectionnez l'option Personal Information Exchange PKCS #12 (.PFX). Cochez Enable strong protection... Décochez Delete private key if the export successful, puis NEXT :


  4. Entrez maintenant un mot de passe qui protégera votre sauvegarde NOTEZ-LE ET RANGEZ LE AVEC LA DOCUMENTATION NECESSAIRE POUR REINSTALLER VOTRE SERVEUR EN CAS DE CRASH TOTAL puis NEXT :


  5. Choisissez un nom de fichier puis NEXT :


  6. Votre certificat est maintenant sauvegardé. Cliquez sur Finish. Copiez votre fichier PFX sur au moins deux disquettes (ou mieux, sur une disquette et sur un CD-ROM) et rangez-les précieusement avec votre documentation.


VI) Restaurer un certificat

  1. Lancez la MMC crée sous le point IV) : Start > Program Files > Administrative Tools > Computer Certificates. Ouvrez la branche Certificates (Local Computer) > Personal

  2. Sélectionnez Personnal puis Menu Action > All Tasks > Import. L'assistant d'importation démarre, cliquez sur NEXT et spécifiez ici le nom du fichier précédemment sauvegardé :


  3. Entrez maintenant le mot de passe (vous vous souvenez, on vous avait demandé de le copier dans la documentation du serveur?) Et cochez Mark the private key as exportable (pour pouvoir faire des sauvegardes ultérieures) puis NEXT:


  4. Dans l'étape suivante, laissez l'option par défaut (place all certificates in the following store ... Personal). Cliquez NEXT :


  5. Votre certificat est restauré. Cliquez sur FINISH. Il va falloir maintenant réassigner ce certificat à votre site WEB. Pour cela lancez la MMC Internet Services Manager (Start > Program Files > Administrative Tools) et sélectionnez le site à protéger, demandez les propriétés, alllez dans l'onglet Directory Security et cliquez sur Server Certificates, l'assistant de gestion des certificats démarre, cliquez sur NEXT, puis sélectionnez l'option Assign an existing certificate puis NEXT:


  6. Sélectionnez le certificat que vous venez de restaurer, puis NEXT :


  7. L'assistant affiche un résumé de votre certificat, cliquez NEXT. La restauration est maintenant terminée. cliquez sur Finish :


VII) En guise de conclusion

N'oubliez pas que vos certificats sont votre signature électronique. Ne jouez pas avec, ne les laissez pas traîner et placez vos sauvegardes de certificats et les mots de passe de ceux-ci dans des endroits sûrs, si possible pas au même endroit !


Article N° 139 du 24.06.2002 15:07:54 par Thierry Charles -- Permalink : http://windows.epfl.ch/?article=139
Mentions légales     Signaler un problème
© 2001-2021 EPFL, EPFL-EXAPP, T. Charles, tous droits réservés.