Procédure : Configurer SSL sur un serveur Web
Dernière mise à jour le 31 août 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Générer une demande de certificat
Envoyer une demande de certificat
Délivrer le certificat
Installer le certificat sur le serveur Web
Configurer des ressources pour exiger un accès SSL
Objectifs
Ce module vous permet d'effectuer les opérations suivantes :
obtenir un certificat SSL ;
installer le certificat SSL sur un serveur IIS ;
configurer un répertoire virtuel afin d'exiger le protocole SSL.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft Windows® XP ou Windows 2000 Server (avec le Service Pack 3) et systèmes d'exploitation ultérieurs
Microsoft Internet Information Services 5.0
Services de certificat Microsoft (si vous devez générer vos propres certificats)
Comment utiliser ce module
Pour tirer le meilleur parti possible de ce module :
Vous devez posséder une expérience de la configuration des services IIS.
Vous devez avoir accès à une Autorité de certification (Services de certificat Microsoft, par exemple) si vous souhaitez générer vos propres certificats.
Vous devez décider à quelle Autorité de certification commerciale vous serez amené à demander les certificats SSL si vous ne souhaitez pas générer ces derniers vous-même. La plupart des Autorités de certification facturent ce service en supplément.
Lisez le Module 4, « Communications sécurisées ». Ce module présente les principaux concepts du protocole SSL et décrit les situations dans lesquelles celui-ci est généralement utilisé.
Résumé
Le protocole SSL (Secure Sockets Layer) est un ensemble de technologies de cryptage qui assure l'authentification, la confidentialité et l'intégrité des données. Ce protocole est plus communément utilisé entre les navigateurs Web et les serveurs Web pour créer un canal de communication sécurisé. Il peut également être utilisé pour sécuriser les communications entre des applications clientes et des services Web.
Pour prendre en charge les communications SSL, les serveurs Web doivent être configurés avec un certificat SSL. Ce module décrit comment obtenir un tel certificat et comment configurer Microsoft® Internet Information Services (IIS) pour prendre en charge les communications sécurisées avec les navigateurs Web et d'autres types d'applications clientes à l'aide du protocole SSL.
Générer une demande de certificat
Cette procédure permet de créer une demande de certificat, qui peut être envoyée à une Autorité de certification pour y être traitée. Si l'opération réussit, l'Autorité de certification vous renvoie un fichier contenant un certificat validé.
Pour générer une demande de certificat
Démarrez le composant logiciel enfichable IIS MMC (Microsoft Management Console).
Développez le nom de votre serveur Web et sélectionnez le site Web pour lequel vous voulez installer un certificat.
Cliquez avec le bouton droit de la souris sur le site Web, puis cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité de répertoire.
Cliquez sur le bouton Certificat de serveur dans Communications sécurisées pour démarrer l'Assistant Certificat de serveur Web.
Remarque : si le bouton Certificat de serveur n'est pas disponible, vous avez probablement sélectionné un répertoire virtuel, un répertoire ou un fichier. Revenez à l'étape 2 et sélectionnez un site Web.
Cliquez sur Suivant pour éviter la boîte de dialogue d'accueil.
Cliquez sur Créer un certificat, puis sur Suivant.
La boîte de dialogue comprend les deux options suivantes :
Préparer la demande, mais ne pas l'envoyer maintenant Cette option est toujours disponible.
Envoyer immédiatement la demande à une Autorité de certification en ligne Cette option est disponible uniquement si le serveur Web peut accéder à un ou à plusieurs serveurs de certificats Microsoft dans un domaine Windows 2000, configuré pour délivrer des certificats de serveur Web. Vous aurez la possibilité à un stade ultérieur de ce processus de demande de sélectionner, dans une liste, une autorité à laquelle la demande sera envoyée.
Cliquez sur Préparer la demande, mais ne pas l'envoyer maintenant, puis sur Suivant.
Tapez un nom descriptif pour le certificat dans le champ Nom, tapez une longueur en bits pour la clé dans le champ Longueur en bits et cliquez sur Suivant. L'Assistant adopte le nom du site Web actuel comme nom par défaut. Celui-ci n'est pas utilisé dans le certificat, mais il sert de nom convivial pour aider les administrateurs.
Tapez un nom d'organisation (tel que Contoso) dans le champ Organisation, puis entrez un service de l'organisation (Ventes, par exemple) dans le champ Unité d'organisation et cliquez sur Suivant.
Remarque : ces informations seront placées dans la demande de certificat ; leur précision est donc importante. L'Autorité de certification vérifiera ces informations et les placera dans le certificat. Les utilisateurs qui accèdent à votre site Web voudront consulter ces informations pour décider s'ils doivent accepter le certificat.
Dans le champ Nom commun, tapez un nom commun pour votre site, puis cliquez sur Suivant.
Important : le nom commun constitue l'une des informations les plus importantes du certificat. Il s'agit du nom DNS du site Web (le nom que l'utilisateur tape lorsqu'il navigue sur votre site). Si le nom du certificat ne correspond pas à celui du site, un problème de certificat est signalé lorsque des utilisateurs accèdent au site.
Si votre site se trouve sur le Web et s'appelle www.contoso.com, vous devez indiquer ce nom en tant que nom commun.
Si votre site est interne et si les utilisateurs naviguent en fonction des noms d'ordinateurs, entrez le nom NetBIOS ou DNS de l'ordinateur.
Entrez les informations appropriées dans les champs Pays/Région, Département/Région et Ville/localité, puis cliquez sur Suivant.
Entrez un nom de fichier pour la demande de certificat.
Le fichier contient des informations similaires à celles présentées ci-dessous.
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy... -----END NEW CERTIFICATE REQUEST----- ```
Il s'agit d'une représentation de votre demande de certificat codée en Base 64. La demande contient les informations entrées dans l'Assistant ainsi que votre clé publique et les informations signées à l'aide de votre clé privée.
Ce fichier de demande est envoyé à l'Autorité de certification. Celle-ci utilise ensuite vos informations de clé publique à partir de la demande de certificat pour vérifier les informations signées avec votre clé privée. L'Autorité de certification vérifie aussi les informations fournies dans la demande.
Une fois la demande envoyée à l'Autorité de certification, cette dernière renvoie un certificat dans un fichier. Vous devez ensuite redémarrer l'Assistant Certificat de serveur Web.
- Cliquez sur Suivant. L'Assistant affiche le résumé des informations contenues dans la demande de certificat.
15. Cliquez sur **Suivant**, puis sur **Terminer** pour achever le processus de demande.
La demande de certificat peut maintenant être envoyée à une Autorité de certification en vue de sa vérification et de son traitement. Une fois que vous avez reçu de l'Autorité de certification la réponse concernant le certificat, vous pouvez poursuivre et installer le certificat sur le serveur Web, toujours à l'aide de l'Assistant Certificat IIS.
Envoyer une demande de certificat
Cette procédure utilise les services de certificat Microsoft pour envoyer la demande de certificat générée lors de la procédure précédente.
Pour envoyer une demande de certificat
Utilisez le Bloc-notes pour ouvrir le fichier de certificat généré au cours de la procédure précédente et copiez l'intégralité de son contenu dans le Presse-papiers.
Démarrez Internet Explorer pour accéder à http://nom_hôte/CertSrv, où nom_hôte correspond au nom de l'ordinateur qui exécute les services de certificat Microsoft.
Cliquez sur Demander un certificat, puis sur Suivant.
Sur la page Choisir le type de demande, cliquez sur Demande avancée, puis sur Suivant.
Sur la page Demandes de certificat avancées, cliquez sur Soumettre une demande de certificat en utilisant un fichier crypté en Base64 PKCS#10, puis sur Suivant.
Sur la page Soumettre une demande enregistrée, cliquez dans la zone de texte Demande de certificat codé Base64 (PKCS #10 ou #7) et appuyez sur les touches CTRL+V pour coller la demande de certificat précédemment copiée dans le Presse-papiers.
Dans la zone Modèle de certificat, cliquez sur Serveur Web.
Cliquez sur Envoyer.
Fermez Internet Explorer.
Délivrer le certificat
Pour délivrer le certificat
Démarrez l'outil Autorité de certification à partir du groupe de programmes Outils d'administration.
Développez votre autorité de certification, puis sélectionnez le dossier Demandes en attente.
Sélectionnez la demande de certificat que vous venez d'envoyer.
Dans le menu Action, pointez sur Toutes les tâches et cliquez sur Émettre.
Vérifiez que le certificat est affiché dans le dossier Certificats délivrés et double-cliquez dessus pour l'afficher.
Dans l'onglet Détails, cliquez sur Copier dans un fichier et enregistrez le certificat en tant que certificat X.509 codé en Base 64.
Fermez la fenêtre de propriétés du certificat.
Fermez l'outil Autorité de certification.
Installer le certificat sur le serveur Web
Cette procédure permet d'installer le certificat délivré lors de la procédure précédente sur le serveur Web.
Pour installer le certificat sur le serveur Web
Démarrez les services IIS, s'ils ne sont pas déjà en cours d'exécution.
Développez le nom de votre serveur et sélectionnez le site Web pour lequel vous voulez installer un certificat.
Cliquez avec le bouton droit de la souris sur le site Web, puis cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité de répertoire.
Cliquez sur Certificat de serveur pour démarrer l'Assistant Certificat de serveur Web.
Cliquez sur Traiter la demande en attente et installer le certificat, puis sur Suivant.
Entrez le chemin et le nom du fichier qui contient la réponse de l'autorité de certification, puis cliquez sur Suivant.
Examinez la vue d'ensemble du certificat, cliquez sur Suivant, puis sur Terminer.
Un certificat est maintenant installé sur le serveur Web.
Configurer des ressources pour exiger un accès SSL
Cette procédure utilise le Gestionnaire des services Internet pour configurer un répertoire virtuel afin d'exiger des accès SSL. Vous pouvez exiger l'utilisation de SSL pour des fichiers, des répertoires ou des répertoires virtuels spécifiques. Les clients doivent utiliser le protocole HTTPS pour accéder à une ressource de ce type.
Pour configurer des ressources afin d'exiger des accès SSL
Démarrez les services IIS, s'ils ne sont pas déjà en cours d'exécution.
Développez le nom de votre serveur et le site Web (il doit s'agir d'un site Web disposant d'un certificat installé).
Cliquez avec le bouton droit sur un répertoire virtuel et cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité de répertoire.
Sous Communications sécurisées, cliquez sur Modifier.
Cliquez sur Requérir un canal sécurisé (SSL). Les clients qui accèdent à ce répertoire virtuel doivent maintenant utiliser le protocole HTTPS.
Cliquez sur OK et de nouveau sur OK pour fermer la boîte de dialogue Propriétés.
Fermez Internet Information Services.