Securisation HTTPS

Livre Blanc
Mise en place dun serveur HTTPS sous Windows 2000
Pierre LANSALOT-BASOU
Mise jour : Mai 2003

Page 51 : Export/Import du certificat serveur vers un serveur IIS 5.
Les informations recueillies dans ce document sont tires du MSDN, d'articles techniques, d'extrait de documents du TechNet et d'Internet et d'expriences personnelles. Le but de ce livre blanc est d'exposer les fonctionnalits de base de Microsoft Certificate server.
Microsoft Cache Array Routing Protocol
ARCHITECTURE DUN SERVEUR WEB SCURIS PAR HTTPS...................5

Prsentation gnrale dune architecture de site Web HTTPS.................................................................5 Autorit de certification prive....................................................................................................................5 Serveur Web scuris...................................................................................................................................5 Clients Internet Explorer..............................................................................................................................6 Activer la scurisation dun site Web par SSL : Authentification par certificat ct serveur...............7 Mise en place dune autorit de certification prive (Certificat Root CA)..................................................7 Cration dun certificat Root CA............................................................................................................7 Installation du certificat Root CA...........................................................................................................7 Mise en place du certificat serveur de lautorit de certification prive (Certificat Serveur)......................8 Cration dune demande de certificat.....................................................................................................8 Soumission dune requte de certificat...................................................................................................8 Traitement et tlchargement dun certificat..........................................................................................8 Installation du certificat et paramtrage du site Web SSL......................................................................8 Activer la scurisation dun site Web par SSL : Authentification par certificat ct client..................9 Installation du certificat Root CA................................................................................................................9 Installation du certificat client li au CA.....................................................................................................9 Renforcer la scurisation dun site Web par SSL : Cryptographie SSL................................................11 Diffrence entre authentification et cryptographie....................................................................................11 Les diffrents modes de cryptographie SSL..............................................................................................11 Encryptage SSL 40-56 bits...................................................................................................................11 Encryptage SSL 128 bits.......................................................................................................................11 Activer un algorithme SSL sous IIS.....................................................................................................12 Encryption Pack 128 bits sur un serveur Web...........................................................................................13 sur NT4 : Encryption Service Pack.......................................................................................................14 US.....................................................................................................................................................14 Le cas Franais.................................................................................................................................15 Sites de tlchargement du IE High-encryption pack......................................................................15 sur Windows 2000................................................................................................................................17 Internet Explorer : High-encryption Pack.............................................................................................17 Les interactions de certaines versions dInternet Explorer sur lencryption SSL 128 bits..............17 Sites de tlchargement du IE High-encryption pack......................................................................18
TRAVAUX PRATIQUES......................................................................................19
Activer la scurisation dun site Web par SSL : Authentification par certificat ct serveur.............19 Mise en place dune autorit de certification prive (Certificat Root CA)................................................19 Cration dun certificat Root CA..........................................................................................................19 Installation du certificat Root CA.........................................................................................................20 Mise en place du certificat serveur de lautorit de certification prive (Certificat Serveur)....................21 Cration dune demande de certificat...................................................................................................21 Soumission dune requte de certificat.................................................................................................27 Traitement et tlchargement dun certificat........................................................................................31 Installation du certificat et paramtrage du site Web SSL....................................................................34 Activer la scurisation dun site Web par SSL : Authentification par certificat ct client................42 Installation du certificat Root CA..............................................................................................................42
Mise en place dun serveur Web HTTPS mise jour Mai 2003 - Page 3
Installation du certificat client li au CA...................................................................................................44
PRSENTATION DE LA CRL............................................................................52
Validit dun certificat................................................................................................................................52 Root CA.....................................................................................................................................................52 Date de validit du certificat serveur et client...........................................................................................52 Domaine.....................................................................................................................................................52 Vrification en ligne de la validit dun certificat.....................................................................................52 Ct client IE5...........................................................................................................................................52 Ct serveur IIS5.......................................................................................................................................53
QUELQUES POINTS IMPORTANTS.................................................................54

Copie de sauvegarde de la paire de cls.....................................................................................................54 Assignation de certificats............................................................................................................................70 par adresse IP.............................................................................................................................................70 par port SSL...............................................................................................................................................70 par nom de domaine...................................................................................................................................70 sur une ferme de serveurs Web (Web Farm).............................................................................................70
FORUM AUX QUESTIONS.................................................................................73

Base TECHNET...........................................................................................................................................73 Q218445 : Comment configurer un serveur de certificat pour utiliser SSL sur IIS4 ?.............................73 Q299525 : Comment paramtrer SSL en utilisant IIS5 et certificate Server 2.0 ?....................................73 Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ?..............................................................73 Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ?..............................................................73 Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ?..............................................................73 Articles techniques TECHNET annexes :.................................................................................................73 Q295329 : Comment renouveler un certificat SSL Verisign avec une nouvelle cl dans IIS5 ?..............73 Q228836 : Installer un nouveau certificat pour utiliser SSL/TLS sur IIS5...............................................74 Q247257 : Etapes pour signer un fichier .CAB.........................................................................................74 Q298559 : Comment mettre en place le Load-Balancing sur des sites IIS scuriss avec SSL................74 Q245030 : Comment restreindre le nombre des algorithmes SSL ?..........................................................74 Q250867 : Impossible dinstaller le Service Pack 6a avec une version High-encryption dInternet Explorer......................................................................................................................................................74
1)
Architecture dun serveur Web scuris par HTTPS

a.
Prsentation gnrale dune architecture de site Web HTTPS
La mise en place dune architecture de serveur HTTPS met en place plusieurs acteurs majeurs : Lautorit de certification prive (appele aussi Root CA ou autorit daccrditation) Le serveur Web (oprationnel sur HTTP que lon souhaite scuriser par la mlise en place du protocole scuris HTTPS) Les postes clients Internet Explorer (accdant depuis votre rseau Intranet ou depuis le rseau Internet) i. Autorit de certification prive Cette autorit est considr comme une rfrence morale. Son rle est de dlivrer une accrditation (ou certificat serveur) suite la demande mise dans un formulaire (via Internet ou par courrier). Cet organisme certifie la validit , assure la reconnaissance du certificat qui sera mis par ses soins et renvoie alors un certificat en bonne et d forme lexpditeur du formulaire. De nombreux organismes privs se sont spcialiss dans la dlivrance (payante) de tels certificats comme aux Etats-Unis (Verisign, Thawte) et en France (Certplus), par exemple. Pour information, un certificat 128 bits complet demand auprs de Verisign cote environ 800$). ii. Serveur Web scuris Le serveur Web constitue la pierre angulaire du systme scuris. Cest sur ce serveur que va tre install le certificats Serveur de lautorit de certification qui la mis. Internet Information Server possde en standard une liste des organisme de certification les plus courants. Certificat Server de Microsoft vous permet galement de crer votre propre autorit de certification prive : cela vous permet de scuriser votre serveur Web avec
un certificat mis par vos soins et prsente lavantage dtre gratuit iii. Clients Internet Explorer Une fois le serveur Web scuris par un certificat issu dun organisme de certification, vous pouvez vous arrter l. Mais la scurisation ne sera pas alors complte. En effet, comme nous travaillons essentiellement dans une architecture client/serveur, la communication nest pas scurise de bout en bout. Vous pouvez renforcer laccs scuris en imposant aux postes client, accdant votre serveur Web HTTPS, de prsenter un certificat Client au serveur. Si ceux-ci ne le prsentent pas, alors laccs au site Web est refus. Nous pouvons comparer la scurisation dun site Web lanalogie suivante : Analogie : Accs une Soire prive Lautorit de certification peut tre considr un organisme dlivrant au compte goutte des badges pour accder une soire. Ce badge (de couleur rouge, avec un texte unique et identifiant prcisment cette soire) vous a t dlivr par lorganisme en retour de votre prcdent courrier contenant un formulaire dinscription et votre rglement. Le serveur Web peut tre compar un vigile devant le portail de ltablissement dans lequel se droule la soire. Il a eu connaissance de ne laisser rentrer que les gens arborant le fameux badge rouge. En dautres termes, le vigile a eu donc connaissance de lexistence dun badge certifiant que lorganisme de certification (qui la embauch) autorise toute personne porteuse de ce badge daccder cette soire. Le client IE, cest vous, personne physique qui souhaitez rentrer dans cette soire. Pour y accder, la prsentation de ce badge est indispensable. Vous le portez donc sur vous lentre de ltablissement.
b.
Activer la scurisation dun site Web par SSL : Authentification par certificat ct serveur
Cette analogie met en valeur les prcisions suivantes : le certificat doit absolument tre connu du serveur pour que toute requte cliente soit examine et accepte ou refuse. Il est ensuite plac la discrtion du serveur de demander au client le certificat pour rentrer sur le portail. En effet, des consignes peuvent avoir donnes au vigile soit : o de ne pas demander tout le monde le badge o de demander tout le monde de montrer le badge
Cette scurisation est efficace pour rentrer sur le site car elle correspond une authentification de la demande du client par le serveur via un mcanisme de scurit (certificat). Cependant, nous verrons dans un prochain chapitre que cette scurisation de site peut tre renforce, en particulier en ce qui concerne la cryptographie des donnes. Voyons maintenant les diffrentes tapes ncessaires : Ces tapes seront intgralement reprises et dtailles dans le chapitre Travaux pratiques i. Mise en place dune autorit de certification prive (Certificat Root CA) Cette partie nest ncessaire deffectuer que si vous dsirez crer et installer votre propre organisme de certification prive, indpendamment de Verisign ou dautres organismes payants. 1. Cration dun serveur de certificat Root CA 2. Installation du certificat Root CA
ii. Mise en place du certificat serveur de
lautorit de certification prive (Certificat Serveur)

Cette partie permet de crer la requte pour un certificat authentifi par un organisme de certification, de rcuprer le certificat serveur et de linstaller sur le serveur Web. Aprs installation, le serveur Web sera configur pour activer le canal SSL avec le certificat serveur. 1. Cration dune demande de certificat 2. Soumission dune requte de certificat 3. Traitement et tlchargement dun certificat Cette tape se dcompose en deux parties distinctes : o Traitement de la demande, envoye par le client lorganisme de certification priv. o Tlchargement 4. Installation du certificat et paramtrage du site Web SSL Maintenant que nous possdons ce certificat CERTNEW.CER, il ne nous reste plus qu linstaller sur notre serveur Web HTTP. Il existe deux mthodes pour cela : soit copiez le certificat directement sur le serveur Web, puis double-cliquer dessus pour linstaller. Soit linstaller par lassistant dinstallation de certificat pour pr installer le certificat, puis le lier au site Web scuriser. Nous prsenterons la deuxime mthode dans les travaux pratiques.
c.
Activer la scurisation dun site Web par SSL : Authentification par certificat ct client
Il existe plusieurs manires dinstaller le certificat Root CA dans la liste des Root CA de confiance dans Internet Explorer 5: Par mail : envoyez le certificat tous vos utilisateurs pour quils puissent linstaller simplement. Par tlchargement : une page de tlchargement propose un lien vers le certificat Root CA. Par IEAK : dans le cadre de dploiement massif de nouvelles versions dInternet Explorer, vous pouvez directement intgrer le certificat au sein des autorits de confiance dans le paquetage IEAK. De toutes les manires, le certificat Root CA doit tre install sur les postes client pour indiquer Internet Explorer de faire confiance au fait que le certificat de votre site nest pas le certificat que vous venez juste de crer, mais plutt le certificat Root CA, cr lorsque Certificate Serveur a t install. i. Installation du certificat Root CA Pour ce faire, il nous faut tlcharger le certificat depuis notre poste client : ii. Installation du certificat client li au CA Jusqu prsent, nous navions pas besoin de prsenter sur nos postes client un certificat client. Cependant, dans le cas prsent ci-dessous o vous configurez votre serveur Web HTTPS pour exiger la prsentation dun certificat client, il est ncessaire dinstaller un certificat client.
Lorsquon tente maintenant daccder au site HTTPS, le client IE prsente une liste des certificat client correspondant lautorit de certification priv qui a configur le serveur Web en HTTPS. Cest lutilisateur alors de choisir de prsenter le certificat client au serveur et de valider son choix.
d.
Renforcer la scurisation dun site Web par SSL : Cryptographie SSL

i. Diffrence entre authentification et
cryptographie
Il est ncessaire de bien faire la distinction entre authentification SSL et cryptographie des donnes SSL. Si nous revenons notre exemple de vigile lentre dune soire, lauthentification correspond laccord du vigile de nous laisser rentrer dans le lieu de la soire aprs lui avoir montr notre badge rouge. Mais une fois entr, il nous faut encore pouvoir parler et se faire comprendre lorsque nous entamerons une discussion avec les autres invits. En effet, la langue utilise (ou cryptage) dans cette soire peut tre une barrire pour communiquer et avoir les informations souhaites. Il est donc ncessaire de pouvoir se mettre au mme niveau de cryptographie ct serveur ET client afin de pouvoir changer des informations. Il reste donc se mettre daccord sur le mode de cryptographie SSL utiliser afin de se comprendre. ii. Les diffrents modes de cryptographie SSL 1. Encryptage SSL 40-56 bits Lencryptage des donnes, circulant sur un canal SSL, sur 40 bits, est le mode communication standard SSL sous Windows NT4 Serveur et Windows 2000 Serveur. Ct client, tous les navigateurs, partir de Internet Explorer 4.01 communiquent de base en mode 40 bits. 2. Encryptage SSL 128 bits Lencryptage des donnes, circulant sur un canal SSL, sur 128 bits, est le mode communication SSL offrant le plus de scurit de bout en bout. Sous Windows NT4 Serveur et Windows 2000 Serveur, il vous suffit de lactiver comme le montre lcran suivant :
Mais cela ne suffit pas : en effet, une DLL spciale est utilise sur le serveur et sur le client afin de crypter effectivement les donnes en 128bits. Cette DLL sappelle SCHANNEL.DLL et peut tre installe sur un serveur ou sur un client de deux manires diffrentes. Ces manires seront dcrites dans le chapitre suivant. 3. Activer un algorithme SSL sous IIS Plusieurs algorithmes SSL sont inclus en standard dans Windows NT4 et Windows 2000. Il est possible de les activer ou non sure le serveur dans lditeur de registre. La procdure est dcrite dans larticle technique Q245030.
iii. Encryption Pack 128 bits sur un serveur Web Pour vous assurer que votre serveur ou votre poste client a le mode 128bits install, le meilleur moyen est de : Lancez Internet Explorer et allez dans le Menu ?; puis Option A propos de : Internet Explorer vous affichera alors une boite de dialogue dans laquelle sera affich le mode dencryption install sur le systme :
IMPORTANT : Il est capital que la DLL systme SCHANNELL.DLL soit installe ct client ET ct serveur, afin que lencryption/dsencryption soit effectue des deux cts. Une fois la communication scurise tablie entre le poste client et le serveur, vous pouvez vrifier le mode dencryption utilis dans Internet Explorer par un petit symbole reprsentant un cadenas jaune affich dans la barre dtat :
Si vous navez pas le mode 128 bits install, alors nous vous prsentons plusieurs moyens de linstaller sur vos serveurs et vos postes clients : 1. sur NT4 : Encryption Service Pack a. US i. Sur un serveur NT4 US, vous pouvez tlcharger le Service Pack High-encryption. Disponible depuis le dbut sur le continent amricain, son installation a t seulement lgalement autorise en France il y a seulement 2 ans. Auparavant, toute entreprise franaise devait demander une drogation auprs du gouvernement afin de lutiliser, ce qui nest plus le cas seulement. Cette libralisation a ainsi permis aux entreprises financires franaises de pouvoir implmenter lencryptage 128 bits sur le territoire et de combler le retard technologique face aux autres pays, mme europens.
b. Le cas Franais i. Ce Service Pack High-encryption pour Windows NT4 est disponible dans sa version 6a en tlchargement sur le site Web de Microsoft, mais uniquement en version US (http://www.microsoft.com/ntserver/nts/do wnloads/recommended/SP6/allSP6.asp). ii. En effet, ladoption tardive du SSL 128 bits par la France a en fait repouss la sortie dun tel Service Pack localis en Franais. Il faut donc avoir recours une autre mthode qui est prsente cidessous. c. Sites de tlchargement du IE Highencryption pack i. Nous avons vu que le fichier SCHANNEL.DLL tait le point central dans lactivation de lencryptage 128 bits. Nous avons galement vu que linstallation du Service Pack High-encryption tait une premire solution, mais qui prsente de nombreuses contraintes dans le cas du territoire Franais, o de nombreux serveurs Web de production sont installes avec des versions franaises de Windows NT4 serveur. Que faire dans ce cas ? ii. La solution passe par Internet Explorer ! En effet, il existe en tlchargement un pack spcial pour toutes les versions dInternet Explorer (4 et 5) afin dactiver le mode 128 bits SSL. Ce pack sappelle le Internet Explorer Highencryption Pack.
Vous pouvez : 1. soit installer ce IE Highencryption Pack de manire autonome depuis le site Web de Microsoft. Le fichier sappelle IE501DOM.EXE. 2. soit mettre jour la version dInternet Explorer sur votre serveur : en effet, partir de la version Internet Explorer 5.01 SP1, ce High-encryption pack est prsent et install automatiquement lors de la mise jour de la version dInternet Explorer 5. Si vous utilisez IEAK pour dployer de nouvelles versions dInternet Explorer sur vos postes, vous trouverez IE501DOM.EXE prsent. La premire mthode dinstallation du High-encryption Pack prsente lavantage de laisser lutilisateur ou ladministrateur systme le choix dinstallation dun tel encryptage sur le poste. La deuxime mthode dinstallation prsente lavantage vident dinstaller lencryptage 128 bits de manire automatique et transparente sur vos postes.
2. sur Windows 2000 a. Sous Windows 2000, en effet, installer une nouvelle version dInternet Explorer (IE5.5 par exemple) ninstallera pas le IE Igh-encryption pack. Le seul moyen est alors dinstaller le Windows 2000 Encryption Pack depuis le site Web de Microsoft
(http://www.microsoft.com/windows2000/downloa ds/recommended/encryption/
3. Internet Explorer : High-encryption Pack a. Les interactions de certaines versions dInternet Explorer sur lencryption SSL 128 bits. i. Dans les deux cas prsents dans le chapitre prcdent, vous devez tre conscient dune consquence sur le systme une fois le Internet Explorer High-encryption Pack install sur votre serveur Windows NT4 (sans consquence sous Windows 2000) : la DLL systme SCHANNEL.DLL a t modifie. ii. Supposons que maintenant vous souhaitiez installer un nouveau Service Pack Windows NT4 standard (par exemple NT4 SP6A alors que votre serveur est actuellement en Windows NT4 SP5), son installation vous sera refuse car il teste la DLL SCHANNEL.DLL : un message vous avertira alors que vous essayez dinstaller une version Standard du Service Pack de NT4 sur une version 128bits de Service Pack de NT4, et arrtera ici linstallation en vous conseillant dinstaller la
place le Service Pack highencryption de NT4 la place ! Problme que peut alors se rvler insoluble si votre serveur Windows NT4 est franais : en effet, comme nous lavons v u dans le chapitre prcdent, il nexiste pas un tel Service Pack francis ! Dans une telle situation, la solution consiste appliquer la procdure dcrite dans larticle technique TECHNET Q250867. b. Sites de tlchargement du IE Highencryption pack i. Toutes les versions du Internet Explorer High-encryption Pack (Internationales, pour IE4, pour IE5) sont tlchargeables ladresse suivante :
http://www.microsoft.com/windows/ie/dow nloads/recommended/128bit/default.asp
ii. Sur cette page sont regroupes toutes les versions de IE501DOM.EXE qui existent selon le type de plate-forme: Windows NT4 SP4 ou moins, Windows NT4 SP5, Windows NT4 SP6, Internet Explorer 4.01, Internet Explorer 5.0 etc... Il est vivement recommand de savoir exactement quelle plateforme est concerne avant dinstaller le Internet Explorer Highencryption pack correspondant.
2)
Travaux pratiques :
a.
Activer la scurisation dun site Web par SSL : Authentification par certificat ct serveur
i. Mise en place dune autorit de certification
prive (Certificat Root CA)

Cette partie nest ncessaire deffectuer que si vous dsirez crer et installer votre propre organisme de certification prive, indpendamment de Verisign ou dautres organismes payants. 1. Cration dun serveur de certificat Root CA Pour crer un serveur Root CA, il vous suffit dinstaller simplement les services Certificate Server depuis Ajout/suppression de programmes de Windows 2000. Par dfaut, ces services ne sont pas installs sur Windows 2000 Server ou Windows 2000 Advanced Server. Sous NT4, vous devez relancer linstallation dOption Pack pour slectionner linstallation de Certificate Services.
Figure1 : Installation des services de certificats sous Windows 2000 2. Installation du certificat Root CA Sous Windows 2000, cette opration est effectue automatiquement aprs linstallation des services Certificate Server 2.0. Un nouvel organisme de certification est alors rajout : il sagit par dfaut du nom du serveur sur lequel a t install Certificate Server.
Figure2 : Installation automatique dune nouvelle Autorit de confiance prive (ou Root CA) sous Windows 2000. Sous NT4, une procdure doit tre suivie pour installer le Certificat Root CA. Cette procdure est disponible dans larticle TECHNET Q218445 dans la partie Install the Root CA certificate on the server.. . ii. Mise en place du certificat serveur de
lautorit de certification prive (Certificat Serveur)

Cette partie permet de crer la requte pour un certificat authentifi par un organisme de certification, de rcuprer le certificat serveur et de linstaller sur le serveur Web. Aprs installation, le serveur Web sera configur pour activer le canal SSL avec le certificat serveur. 1. Cration dune demande de certificat
Tout dabord, nous devons soumettre notre demande dobtenir un certificat serveur. Lorganisme de certification qui sera destine cette demande renverra ensuite un certificat serveur. Dans les exemples ci-dessous, lorganisme de certification concern est un organisme de certification priv cr sur un serveur de certificat Microsoft Root CA.
Figure3 : Cration dune demande de certificat serveur via le gestionnaire de services Internet sous Windows 2000.
Figure4 : Une fois dans le wizard, ladministrateur est guid pour crer un certificat sous Windows 2000.
Figure5 : Prparation de la demande sous Windows 2000.
Figure6 : Saisie du nom du certificat serveur. Il est possible de prciser que ce certificat soit de type SGC. Les certificats SGC sont les plus souvent utiliss par les organismes financiers qui ncessitent des connections de haute encryption (128 bits) mme dans le cas o des utilisateurs ou navigateurs internationaux sont limits lencryption 40 bits. Lorsquun navigateur international (40 bits) se connecte sur un serveur o est install un certificat SGC, ce dernier cre un canal 128 bits pour permettre lencryption 128 bits. Le canal est aussitt ferm ds que la connection scurise se termine ou que la session se termine. Dautre part, dans le cas dun domaine FQDN, si le nom du domaine dun certificat ne correspond pas au nom de domaine du site Web, vous recevrez un avertissement avec le choix de continuer ou non. Avec un certificat SGC, la connexion choue sans autre explication.
Figure7 : Un certificat serveur tant unique chaque site Web, le nom usuel du site (common name) est important car il garantit lunicit du certificat qui sera install sur le site Web. Le nom usuel peut tre soit le nom du serveur (comme dessus) ou bien le nom FQDN.
Figure 8 et 9 : Cration dun fichier contenant la demande de certificat serveur.
Figure 10 : Rsum des informations caractrisant la demande du certificat serveur.
Figure11 : Une fois la demande de certificat effectue, Microsoft Certificate Server vous guide pour la suite des oprations effectuer, savoir la soumettre un organisme de certification. A noter quune liste des autorits de certification disponibles pour authentifier votre demande est accessible sur le site Web de Microsoft. 2. Soumission dune requte de certificat Dans lexemple que nous avons choisi de vous montrer, nous avons choisi de soumettre la demande de certification auprs de notre propre organisme de certification priv, cr ltape 1 Installation dun serveur de certificat Root CA . Cest ce dernier qui va recevoir la demande, la valider et nous renvoyer alors un certificat authentifi par ses soins. La procdure qui suit est spcifique un serveur de certificat Root CA install avec Microsoft Certificate Server, mais le principe de traitement, validation et renvoi du certificat authentifi est le mme pour tous les autres organismes de certification (Verisign, Thawte, ...).
Figure12 : La demande de notre certificat est soumise lorganisme de certification priv (PIERRELB-VM) qui propose un formulaire remplir via lassistant Microsoft Certificate Server 2.0.
Figure13 : Microsoft Certificate Server propose plusieurs choix : soit de nous fournir un certificat client (cette tape sera vue ultrieurement), soit de fournir des options avances puisquil sagit ici
dinstaller un certificat serveur. La deuxime option est choisie.
Figure14 : Microsoft Certificate Server propose plusieurs type de demandes : Il est recommand de choisir loption du milieu, car scuris pour lenvoi de notre demande.
Figure15 : Le contenu du fichier certreq.txt, cr prcdemment, est dit dans Notepad, copi et
coll lintrieur du formulaire ci-dessus propos par Microsoft Certificate Server 2.0. Attention : de bien inclure les champs ----- BEGIN NEW CERTIFICATE REQUEST et ----- END NEW CERTIFICATE REQUEST, sinon votre demande sera invalide.
Figure16 : Une fois la demande soumise lorganisme de certification, vous navez plus qu attendre quil vous retourne le certificat. Rappelons quavec organisme de certification classique (Verisign ou Thawte), ce service payant et le traitement peut prendre quelques jours. Avec notre propre autorit de certification cre avec Microsoft Certificate Server, notre demande va pouvoir tre trait tout de suite dans la prochaine tape, et ce service est gratuit. Dans notre exemple, le message donn par Certificate Server et prsent dans la figure 16 cidessus, le serveur PIERRELB-VM est configur par dfaut pour mettre en attente les demandes de certificat afin quun administrateur du serveur de certification puisse valider manuellement cette demande, ceci afin de garantir une validation manuelle et non automatique par le serveur de certification.
Cependant, il est possible de configurer le serveur de certification pour quil accepte par dfaut toute demande (Dans Autorit de certification, proprits du serveur, onglet Module de stratgie, bouton Configurer) : un autre cran sera alors montr, qui vous vitera dattendre la validation de la demande et le tlchargement du certificat une fois valid. Dans ce cas, ltape 3 est ignore et ltape 4 est effectue directement. 3. Traitement et tlchargement dun certificat Cette tape se dcompose en deux parties distinctes : o Traitement de la demande, envoye par le client lorganisme de certification priv. Ce traitement est effectu par un administrateur au sein de lorganisme de certification priv. Il a simplement approuver ou refuser la demande via la procdure suivante :
Figure17 : Sur le serveur de lorganisme de certification priv, ladministrateur lance lapplication Autorit de certification dans
Menu Dmarre-Programmes-Outils dAdministration. La liste des certificats en attente est affiche.
Figure18 : Ladministrateur na plus ensuite qu slectionner le bon certificat en attente, puis le valider par un simple clic droit sur la demande : un menu contextuel est propos pour refuser ou dlivrer le certificat. Une fois dlivr, le certificat apparat maintenant dans la liste des certificats dlivrs : o Tlchargement Une fois la tche de ladministrateur de lorganisme de certification priv termine, nous recevons par mail un avis comme quoi notre demande de certificat a t valide et quil ne nous reste plus qu tlcharger le certificat serveur sur le site Web de lorganisme de certification priv.
Figure19 : Pour tlcharger le certificat serveur valid par lorganisme de certification, il faut se reconnecter sur le site de lorganisme, puis Vrifier les certificats en attente.
Figure20 : Le certificat dlivr est bien disponible et visible. Il suffit de le slectionner, puis de le tlcharger localement sur son disque dur.
Figure21 : Le certificat est maintenant tlchargeable : choisissez de tlcharger le certificat issu de lautorit de certification, cod DER.
Figure 22 : le certificat de lautorit de certification priv (CERTNEW.CER) vient dtre tlcharg sur notre poste de travail. 4. Installation du certificat et paramtrage du site Web SSL
Maintenant que nous possdons ce certificat CERTNEW.CER, il ne nous reste plus qu linstaller sur notre serveur Web HTTP. Il existe deux mthodes pour cela : soit copiez le certificat directement sur le serveur Web, puis double-cliquer dessus pour linstaller. Soit linstaller par lassistant dinstallation de certificat pour pr installer le certificat, puis le lier au site Web scuriser. Nous vous proposons la deuxime mthode ci-dessous :
Figure 23 : Sur le serveur Web scuriser, Nous allons lancer lassistant dinstallation du certificat de lautorit de certification priv (CERTNEW.CER) via le gestionnaire des services Internet. Aprs avoir slectionn le site Web, et avoir choisi longlet Scurit de rpertoire dans les proprits, nous cliquons sur le bouton Certificat de Serveur.
Figure 24 : Lassistant Certificat de serveur Web est alors excut, et le procdure dinstallation de CERTNEW.CER sur votre site Web slectionn peut commencer.
Figure 25 : Lassistant Certificat de serveur nous propose de traiter la demande en attente et dinstaller le certificat.
Figure 26 : Lassistant Certificat de serveur nous demande alors de lui fournir le certificat dlivr sous forme de fichier CERTNEW.CER.
Figure 27 : Lassistant Certificat de serveur prsente un rsum de toutes les caractristiques avant dinstaller le certificat pour le site Web.
Figure 28 : Lassistant Certificat de serveur Web nous confirme que le certificat est correctement install sur notre serveur.
Figure 29 : Aprs avoir quitt lassistant Certificat de serveur Web, nous constatons que deux nouveaux boutons apparaissent concernant les communications scurises : Afficher ou bien Modifier le certificat install.
Il nous reste maintenant configurer et tester le certificat du ct du serveur en suivant les dernires tapes suivantes :
Figure 30 : Nous choisissons alors de modifier les communications scurises. Par dfaut, le canal SSL nest pas activ : un simple clic sur loption Exiger un canal scuris SLL permet de lactiver. Par dfaut les certificats clients sont ignors et nont pas besoin dtre prsents au serveur Web pour accder au site Web en HTTPS.
Figure 31 : Pour tester la mise en place du canal scuris SSL, essayons daccder notre site Web scuris via une adresse URL HTTP : il nest dsormais possible daccder notre site Web quuniquement via le protocole scuris HTTPS.
Figure 32 : Laccs au site HTTPS directement effectu depuis le serveur Web scuris nous montre plusieurs paramtres sur lequel le
certificat se base pour vrifier la validit de laccs : * Lautorit de certification prive : elle est bien connue du serveur Web. * La date de validit du certificat mis par cet organisme : elle est bien valide et nest pas prime. * Le nom du site scuris : il nest pas correct. Pourquoi ? Tout simplement parce que lorsque la demande du certificat t mise lorganisme de certification priv, nous avions spcifi le Common Name (Nom usuel) comme tant gale la valeur pierrelb-vm . Comme nous tentons daccder un site appel localhost, il ny a pas de correspondance entre les deux noms, do cet avertissement. Nous pouvons alors accepter quand mme daccder ce site : cest lutilisateur final de dcider de laction effectuer en toute connaissance de cause.
Figure 33 : Laccs t autoris : nous pouvons maintenant accder au site Web en HTTPS.
b.
Activer la scurisation dun site Web par SSL : Authentification par certificat ct client
Il existe plusieurs manires dinstaller le certificat Root CA dans la liste des Root CA de confiance dans Internet Explorer 5: Par mail : envoyez le certificat tous vos utilisateurs pour quils puissent linstaller simplement. Par tlchargement : une page de tlchargement propose un lien vers le certificat Root CA. Par IEAK : dans le cadre de dploiement massif de nouvelles versions dInternet Explorer, vous pouvez directement intgrer le certificat au sein des autorits de confiance dans le paquetage IEAK.
De toutes les manires, le certificat Root CA doit tre install sur les postes client pour indiquer Internet Explorer de faire confiance au fait que le certificat de votre site nest pas le certificat que vous venez juste de crer, mais plutt le certificat Root CA, cr lorsque Certificate Serveur a t install. i. Installation du certificat Root CA Pour ce faire, il nous faut tlcharger le certificat depuis notre poste client :
Figure 34 : Nous nous connectons (en HTTPS cette fois !) sur notre site Web o a t install le certificat Serveur Root CA, afin de le rcuprer en vue de linstaller sur le poste client.
Figure 35 : Deux possibilits soffrent alors vous : Installer automatiquement ce certificat serveur depuis le chemin daccs connu dans Internet Explorer.
Tlcharger ce certificat serveur, le sauvegarder sur disque, puis double-cliquer sur le certificat pour dmarre lassistant dinstallation du certificat serveur sur le poste client en choisissant lemplacement physique (store) correspondant aux autorits de certification de confiance.
Figure 36 : En ayant choisi la premire possibilit, voici alors ce que nous obtenons. La nouvelle autorit de certification vient dtre rajout dans le store des autorits de certification dignes de confiance dans Internet Explorer de votre poste client.
ii. Installation du certificat client li au CA Jusqu prsent, nous navions pas besoin de prsenter sur nos postes client un certificat client. Cependant, dans le cas prsent ci-dessous o vous configurez votre serveur Web HTTPS pour exiger la prsentation dun certificat client, il est ncessaire dinstaller un certificat client.
Figure 37 : Voici comment configurer votre site Web HTTPS afin dexiger la prsentation dun certificat client install sur le poste client.
Figure 38 : Une fois configur le site Web, il est ncessaire de crer un certificat client puis de linstaller dans Internet Explorer du poste client.
Figure 39 : Certificate server nous propose alors deffectuer une demande de certificat client concernant la navigation sur le Web.
Figure 40 : Certificate server prsente un formulaire demandant quelques informations concernant cet utilisateur. Notez que les informations concernant la socit, le dpartement et le pays sont affichs automatiquement, puisque cet utilisateur doit faire
partie de lorganisation .du serveur sur lequel il essaie daccder.
Figure 41 : Le certificat utilisateur est alors cr et est en attente de validation par lautorit de certification.
Figure 42 : Dans le programme Autorit de Certification, le certificat client est alors en attente de validation par un administrateur. Une fois quil est dlivr, depuis le mme poste utilisateur, nous allons
vrifier les certificats en attente : nous voyons alors notre certificat client dlivr qui est en attente.
Figure 43 : Vrification des certificats en attente.
Figure 44 : Nous retrouvons notre certificat client quil nous maintenant tlcharger et installer sur notre poste utilisateur.
Figure 45 : Il nous est alors propos dinstaller directement sur notre poste utilisateur le certificat client.
Figure 46 : Une fois install ce certificat client, il nous suffit de vrifier quil apparat bien dans Internet
Explorer du poste utilisateur : Options Internet Onglet Contenu Bouton Certificats Onglet Personnel : Le certificat client pour lutilisateur Pierre LANSALOT-BASOU apparat dans la liste maintenant comme certificat personnel.
Figure 47 : Lorsquon tente maintenant daccder au site HTTPS, le client IE prsente une liste des certificat client correspondant lautorit de certification priv qui a configur le serveur Web en HTTPS. Cest lutilisateur alors de choisir de prsenter le certificat client au serveur et de valider son choix.
Figure 48 : Le site Web a accept la prsentation du certificat client : le client accde alors au site HTTPS scuris de bout en bout.
3)
Prsentation de la CRL
a.
Validit dun certificat :
Un certificat (client ou de lautorit de certification prive) possde certaines caractristiques qui indiquent sa validit. Ces paramtres sont : lautorit de certification Root CA. La date de validit. Le common name (ou nom usuel) i. Root CA Celle-ci doit tre connue du serveur et du client dans une architecture client/serveur SSL. ii. Date de validit du certificat serveur et client Un certificat a une dure de vie limite. Il est dlivr par lautorit de certification. Passe cette date, le certificat expire et il est ncessaire alors de demander un nouveau certificat dont la dure de validit sera prolonge pour une nouvelle priode. iii. Domaine Un certificat est dlivr par lautorit de certification pour une adresse de domaine DNS unique. Ainsi, dans notre exemple en laboratoire, nous avons vu que notre certificat a t dlivr pour un nom de serveur http://pierrelb-vm. Si je tente daccder ce serveur avec un autre nom (par exemple http://localhost) , un message mindiquera que le certificat nest pas fait pour accder un tel site. Il est du ressort final de lutilisateur de continuer ou non une fois quil est prvenu. b.
Vrification en ligne de la validit dun certificat

i. Ct client IE5 Toute autorit de certification prive gre une CRL (Certification Revocation List). Cette liste contient lensembles des serveurs qui ne sont plus considrs comme ayant un certificat valide. Cette liste peut tre
accessible en ligne directement par les postes clients Internet Explorer quand ils se connectent au serveur Web : ils vrifient ainsi auprs du CA qui a fournit ce certificat et si le serveur en question nest pas dans la CRL en question en comparant le nom donn dans le certificat et les membres de cette liste. Cette liste sactive sous Internet Explorer dans les Options avances :
ii. Ct serveur IIS5 1. Linverse est vrai galement : Il est possible de demander IIS de vrifier la validit dun certificat client. Il suffit dactiver dans le registre la cl suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Inetinfo\Parameters\CheckForServerCerti ficateRevocation 1 (0 par dfaut).
4)
Quelques points importants

a.
Export / import du certificat serveur vers un autre serveur IIS 5
Envisageons le cas suivant : pour des raisons diverses dans votre entreprise, il a t dcid de rinstaller compltement votre serveur Windows 2000. Cette opration ncessite donc de rinstaller compltement le systme dexploitation et les applications. Votre entreprise a cependant indique deux lments indispensables dans le cahier des charges : le serveur devra tre rinstall avec le mme nom DNS. le serveur devra conserver le mme certificat serveur SSL.
La question qui se pose est alors la suivante : comment sauvegarder et rinstaller le certificat serveur existant lors de la future rinstallation de notre serveur Windows 2000 ? Un premier rflexe peut tre de rmettre une demande de certificats auprs de lautorit de certification avec les mmes informations. Cela fonctionnera certes, mais il existe une mthode plus adapte ce type de demande : lexportation et limportation de certificats serveur. Nous vous prsentons ici le guide dtaill des tapes suivre pour exporter correctement un certificat web existant, avant de rimporter ce mme certificat sur votre nouvelle installation du serveur.
Comment Exporter & Importer un certificat serveur Web existant ?

Premirement, constatons que notre certificat serveur est correctement install et oprationnel sur notre serveur web : Vous pouvez alors afficher une information importante depuis la console MMC dIIS : o Ce certificat serveur possde une cl prive. Elle devra tre exporte par la suite, il est donc ncessaire de sassurer que la cl prive est fonctionnelle.
Figure 48 : Le certificat serveur possde bien une cl prive. Deuximement, nous allons exporter ce certificat serveur dans un fichier. Pour ce faire, la procdure est la suivante : o Depuis la console MMC dIIS, cliquez sur le bouton Copier dans un fichier.
Figure 49 : Dans les dtails du certificat, nous allons pouvoir copier le certificat dans un fichier dun certain format.
o Un assistant est alors lanc pour nous aider lors de lexportation du certificat serveur : il nous est dabord demand si nous dsirons exporter ou non la cl prive de notre certificat serveur. A noter que, lors de la demande initiale de votre certificat serveur existant, si vous naviez pas spcifi que la cl prive soit exportable, alors seule une option sera accessible).
o Nous vous conseillons de choisir loption Oui, exporter la cl prive. Si vous choisissez de ne pas lexporter, cela peut engendrer des dysfonctionnements voire le non fonctionnement total du certificat une fois celui-ci import.
Figure 50 : Nous choisissons dexporter galement la cl prive du certificat serveur dans notre fichier dexport.
o Deux types de formats de fichiers export peuvent alors tre utiliss et il est important de connatre la diffrence entre les deux formats : o Fichier export au format PKCS #7 (extension .P7B) Ce type de format ne supporte pas lexport de la cl prive : si vous disposez dun tel fichier dans vos archives, vous pouvez dj en dduire que ce fichier dexport ne contient pas de cl prive, ce qui peut poser un problme de fonctionnement du certificat lors de son import (La page ne peut pas tre affiche). o Fichier export au format PKCS #12 (extension .PFX) Ce type de format supporte pas lexport de la cl prive : si vous disposez dun tel fichier dans vos archives, vous pouvez dj en dduire que ce fichier dexport contient pas une cl prive, ce qui est conseill pour le futur import du certificat.
Comme vous avez pu le comprendre, nous recommandons que vous puissiez exporter votre certificate serveur dans un format PKCS#12, avec les options montres dans la figure 51 :
Figure 51 : Les options slectionnes pour lexport du certificat serveur au format PKCS #12 sont ncessaires : Conservation de la chaine des serveurs CA et activation de la protection renforce (mot de passe pour protger la cl prive exporte).
Note : Pour votre information, si vous aviez choisi de ne pas exporter la cl prive de votre certificat serveur, la figure 52 montre lcran que vous auriez obtenu :
Figure 52 : Vous avez choisi de ne pas exporter la cl prive et de sauvegarder le certificat serveur au format PKCS #7. Dans ce cas, conservez galement toute la chane des certificats en cochant loption ci-dessus.
o Lexport du certificat serveur (et de sa cl prive) est une opration critique et sensible : elle peut tre scurise par un mot de passe que vous pouvez spcifier. Entrez un mot de passe si vous le souhaitez (ne loubliez pas, vous en aurez besoin pour limport !), ou laissez le champ vide si vous ne souhaitez pas spcifier de mot de passe.
Figure 53 : Saisissez le mot de passe pour protger la cl prive qui est exporte avec le certificat serveur au format PKCS #12.
o Sauvegardez alors le certificat serveur sous forme dun fichier export lextension .PFX :
Figure 54 : Spcifiez un nom pour votre fichier export au format PKCS #12. Reconstruisez alors votre serveur Windows 2000 (Rinstallation complte .). Ltape suivante consiste maintenant lancer limportation du certificat serveur. Cette tape doit tre effectue suivant ces tapes afin que le certificat soit correctement install et oprationnel : o Ouvrez la console MMC des Certificats pour le compte Ordinateur Local, Localement sur le serveur IIS 5. o Puis slectionnez le Dossier Personnel, faites un bouton droit sur le dossier, puis slectionnez Toutes les tches
dans le menu contextuel, puis slectionnez loption Importer.
Figure 55 : Importer le fichier export du certificat serveur dans le store personnel du compte de lordinateur.
o Slectionnez le fichier .PFX importer :
Figure 56 : Slectionnez le fichier dimportation .PFX.
o Entrez le mot de passe qui protg votre cl prive, puis cochez loption Marquer la cl prive comme exportable : ceci vous permettra, dans une future rinstallation, de continuer exporter la cl prive.
Figure 57 : Entrez le mot de passe pour limportation (sil y en a un), puis cochez loption marquez la cl prive comme exportable . o Slectionnez ensuite le store o le certificat sera import : choisissez le store Personnel comme montr dans la figure 58.
Figure 58 : Slectionnez le store Personnel pour y copier le certificat serveur importer.
o Retournez ensuite dans la console MMC Certificats et slectionnez le dossier Personnel/ Certificats : vous verrez alors une nouvelle entre dans la fentre droite, qui correspond au nouveau certificat que vous avez copi dans le store Personnel, comme le montre la figure 59 :
Figure 59 : Votre certificat vient dtre import dans le store Personnel du compte de lordinateur local : il apparat dans la liste de la fentre de droite.
Dernire tape : il est ncessaire dattribuer ce certificat serveur votre site web : o Ouvrez la console MMC dIIS, lancez lassistant de Certificate Server, puis choissiez loption Attribuer un certificat existant .
Figure 60 : Attribuez ensuite le certificat, copi dans le store Personnel, votre site web. o Le contenu du store Personnel sera alors affich : slectionnez dans la liste le certificat que vous venez dimporter prcdemment.
Figure 61 : Slectionnez le certificat rcemment import dans la liste. o Votre certificat a t correctement import et attribu un site web. Lopration dexport / import est maintenant termine.
b.
Assignation de certificats
i. par adresse IP Vous ne pouvez assigner plusieurs certificats une mme adresse IP. ii. par port SSL Vous ne pouvez assigner plusieurs ports SSL un site Web. iii. par nom de domaine Un seul certificat peut tre assign un nom de domaine DNS. iv. sur une ferme de serveurs Web (Web Farm) Un certificat peut tre partage par plusieurs adresses IP dun mme nom de domaine (Fermes Web)
c. Mapping de certificats dans lActive Directory

Il est possible de mapper les certificats clients dans un Active Directory de Windows 2000. Pour ce faire, voici les requisites pour mettre en place cette solution, la procdure suivre ainsi quun conseil concernant la mise jour des rvocations de certificats client avec la CRL et AD : Requisites : Un serveur Windows 2000 avec un Active Directory actif. Un serveur de certification (priv ou dj connu) Root CA (standalone ou subordonn) en mode Entreprise . .Ce mode permet dutiliser lActive Directory du serveur Windows 2000. Un serveur Web scuris avec un certificat serveur unique, sign par lorganisme de certification Root CA ci-dessus. Ce certificat est install sur le serveur Web scuriser.
o A noter que lorganisme Root CA ayant accord ce certificat doit tre connu dans la liste des organismes Root CA de confiance locale au serveur Web. Un ou plusieurs certificats client, sign(s) par lorganisme de certification Root CA ci-dessus. Ces certificats client sont installs sur les postes clients. o A noter que lorganisme Root CA ayant accord ce certificat doit tre connu dans la liste des organismes Root CA de confiance locale au poste client. Procdure de mise en place dun mapping de certificat dans Active Directory de Windows 2000 : Dsactiver toutes les mthodes dauthentification du serveur IIS5 scuris (Anonyme, NTLM ) afin dtre sr deffectuer une authentification grce lActive Directory. Suivre larticle technique Q272175 qui dcrit compltement la procdure pour mettre en place le mapping de certificats dans lActive Directory de Windows 2000. o Cette procdure est suivre uniquement quand les requisites ci-dessus ont t correctement effectus.
Additif : Comment faire prendre en compte par Active Directory la rvocation manuelle dun certificat client ? Sur le serveur Root CA : o Slectionner Revoked Certificates' bouton droit - proprits - Modifier l'intervalle de publication : 1h (au lieu de 7 jours). o Slectionner 'Revoked Certificates' - All Tasks - Publish : ceci a pour effet de forcer la mise jour, sur le Root CA, la liste des certificats rvoqus. o Faire un IISRESET pour faire prendre en compte la rvocation des certificats, par prcaution. Sur le poste client : o Connection via IE avec un utilisateur : on obtient maintenant un message d'erreur - Impossible de se connecter avec son certificat client.
5)
Forum Aux Questions

a.
Base TECHNET
i. Q218445 : Comment configurer un serveur
de certificat pour utiliser SSL sur IIS4 ?

http://support.microsoft.com/support/kb/articles/Q218/4/45.ASP
ii. Q299525 : Comment paramtrer SSL en
utilisant IIS5 et certificate Server 2.0 ?

iii. Q290625 : Comment configurer SSL sur
Windows 2000 IIS5 ?

iv. Q232137 : Comment importer un certificat
serveur utiliser dans IIS5 ?

http://support.microsoft.com/support/kb/articles/Q232/1/37.A SP
v. Q272175 : Comment configurer le mapping
de certificats dans Active Directory ?

http://support.microsoft.com/support/kb/articles/Q272/1/75.A SP
b.
Articles techniques TECHNET annexes :

i. Q295329 : Comment renouveler un certificat
SSL Verisign avec une nouvelle cl dans IIS5 ?
ii. Q228836 : Installer un nouveau certificat
pour utiliser SSL/TLS sur IIS5

iii. Q247257 : Etapes pour signer un fichier .CAB.

iv. Q298559 : Comment mettre en place le Load-
balancing sur des sites IIS scuriss avec SSL

v. Q245030 : Comment restreindre le nombre
des algorithmes SSL ?

vi. Q250867 : Impossible dinstaller le Service
Pack 6a avec une version High-encryption dInternet Explorer.


Securisation HTTPS

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securisation HTTPS

Transféré par

Droits d'auteur :

Formats disponibles

Livre Blanc

Mise en place dun serveur HTTPS sous Windows 2000

Mise jour : Mai 2003

Microsoft Cache Array Routing Protocol

ARCHITECTURE DUN SERVEUR WEB SCURIS PAR HTTPS...................5

Installation du certificat client li au CA...................................................................................................44

QUELQUES POINTS IMPORTANTS.................................................................54

FORUM AUX QUESTIONS.................................................................................73

Architecture dun serveur Web scuris par HTTPS

Prsentation gnrale dune architecture de site Web HTTPS

ii. Mise en place du certificat serveur de

lautorit de certification prive (Certificat Serveur)

Renforcer la scurisation dun site Web par SSL : Cryptographie SSL

prive (Certificat Root CA)

lautorit de certification prive (Certificat Serveur)

Figure5 : Prparation de la demande sous Windows 2000.

Figure 8 et 9 : Cration dun fichier contenant la demande de certificat serveur.

Figure 10 : Rsum des informations caractrisant la demande du certificat serveur.

dinstaller un certificat serveur. La deuxime option est choisie.

Menu Dmarre-Programmes-Outils dAdministration. La liste des certificats en attente est affiche.

partie de lorganisation .du serveur sur lequel il essaie daccder.

Figure 43 : Vrification des certificats en attente.

Validit dun certificat :

Vrification en ligne de la validit dun certificat

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Inetinfo\Parameters\CheckForServerCerti ficateRevocation 1 (0 par dfaut).

Quelques points importants

Export / import du certificat serveur vers un autre serveur IIS 5

Comment Exporter & Importer un certificat serveur Web existant ?

dans le menu contextuel, puis slectionnez loption Importer.

o Slectionnez le fichier .PFX importer :

Figure 56 : Slectionnez le fichier dimportation .PFX.

Figure 58 : Slectionnez le store Personnel pour y copier le certificat serveur importer.

c. Mapping de certificats dans lActive Directory

Forum Aux Questions

de certificat pour utiliser SSL sur IIS4 ?

ii. Q299525 : Comment paramtrer SSL en

utilisant IIS5 et certificate Server 2.0 ?

iii. Q290625 : Comment configurer SSL sur

Windows 2000 IIS5 ?

iv. Q232137 : Comment importer un certificat

serveur utiliser dans IIS5 ?

v. Q272175 : Comment configurer le mapping

de certificats dans Active Directory ?

Articles techniques TECHNET annexes :

SSL Verisign avec une nouvelle cl dans IIS5 ?

ii. Q228836 : Installer un nouveau certificat

pour utiliser SSL/TLS sur IIS5

iii. Q247257 : Etapes pour signer un fichier .CAB.

iv. Q298559 : Comment mettre en place le Load-

balancing sur des sites IIS scuriss avec SSL

v. Q245030 : Comment restreindre le nombre

des algorithmes SSL ?

vi. Q250867 : Impossible dinstaller le Service

Pack 6a avec une version High-encryption dInternet Explorer.

Vous aimerez peut-être aussi