====== IIS (Web) : Certificats ====== ===== Résumé ===== Les certificats sont (notamment) destinés à permettre la communication chiffrée entre un serveur web et un navigateur. La procédure de **renouvellement** dans IIS est très particulière et décrite dans le document [[http://support.microsoft.com/kb/295281/en-us?fr=1|How to renew or create new certificate Signing Request While Another Certificate Is Currently Installed]]. Cet article ne détaille pas les raisons pour implanter un certificat ni les règles de choix de la classe de certificat ni le choix du nom principal à implanter. ===== Renouvellement de certificat de site ===== ==== Choisir une autorité de certification ==== En principe, c'est un choix stratégique d'entreprise. En France, on fait le plus souvent appel à Verisign (tarifs environ 1000,00 € H.T./an/certificat pour la version de base). Dans les cas non critiques et/ou de maquettage, on peut faire appel à une autorité gratuite et automatique telle que [[http://selso.com|SelSo]] (SelSo ne certifie rien de particulier, il n'est même pas nécessaire de créer un compte chez eux). ==== 1ère étape : obtenir un nouveau certificat ==== La création de demande ne peut se faire que depuis un site dénué de certificat. Il faut donc créer un nouveau site vierge que l'on détruira à la fin de la procédure... * clic droit sur le **site web par défaut**, **Nouveau**, **Site**, etc. * dans les **Propriétés** du nouveau site, onglet **Sécurité de répertoire**(sic !) puis **Certificat serveur**, **créer un nouveau certificat** ; * Les réponses à donner sont importantes, la plus importante étant le **nom du site** qui doit correspondre exactement à l'**URL racine** (Par exemple, pour http://www.tartempion.org, indiquer www.tartempion.org) ; le tout permet d'obtenir une **demande de certificat**. === Relations avec l'autorité de certification === * la demande est à transmettre à l'**autorité de certification** (en général, il suffit de copier/coller le contenu du fichier, y compris les marqueurs -----BEGIN... et -----END... * En principe, le certificat est reçu en retour en format normalisé que l'on placera dans un fichier d'extension ''.cer'' (de même, il suffit de copier/coller depuis ----BEGIN CERTIFICATE--- jusqu'à ----END CERTIFICATE---). ==== 2ème étape : installer et faire prendre en compte le nouveau certificat ==== * retourner aux **Propriétés** du nouveau site, onglet **Sécurité de répertoire** puis **Certificat serveur**, **Traiter la demande en attente** ; * installer le nouveau certificat (le fichier ''.cer'' créé à la première étape) ; * arrêter le nouveau site ; * redémarrer le nouveau site ; * retourner (encore, si, si) aux **Propriétés** du nouveau site, onglet **Sécurité de répertoire** puis **Certificat serveur**, **Supprimer le certificat actuel** (re-sic !) ; ==== 3ème étape : installer le nouveau certificat dans le site en exploitation ==== * aller dans les **Propriétés** du "vrai" site, onglet **Sécurité de répertoire** puis **Certificat serveur**, **Remplacerle certificat actuel** ; * choisir le certificat installé à la deuxième étape * ==> à partir de cet instant, le site web doit présenter le nouveau certificat - vérifier la prise en compte depuis un navigateur client. ==== 4ème étape : faire le ménage ==== * dans IIS, supprimer le site provisoire créé à l'étape 1 ; * faire **révoquer** l'ancien certificat par son autorité de confiance (**très important** pour la sécurité) ; * dans MMC (**Démarrer**, **Exécuter** : ''MMS'') : * ajouter (Ctrl-M) le composant logiciel enfichable **Certificats** pour **le compte de l'ordinateur**, **L'ordinateur local** ; * supprimer l'ancien certificat du serveur ; * s'offrir un café bien mérité. Ouf !