IIS (Web) : Certificats

Les certificats sont (notamment) destinés à permettre la communication chiffrée entre un serveur web et un navigateur.

La procédure de renouvellement dans IIS est très particulière et décrite dans le document How to renew or create new certificate Signing Request While Another Certificate Is Currently Installed.

Cet article ne détaille pas les raisons pour implanter un certificat ni les règles de choix de la classe de certificat ni le choix du nom principal à implanter.

En principe, c'est un choix stratégique d'entreprise. En France, on fait le plus souvent appel à Verisign (tarifs environ 1000,00 € H.T./an/certificat pour la version de base).

Dans les cas non critiques et/ou de maquettage, on peut faire appel à une autorité gratuite et automatique telle que SelSo (SelSo ne certifie rien de particulier, il n'est même pas nécessaire de créer un compte chez eux).

La création de demande ne peut se faire que depuis un site dénué de certificat. Il faut donc créer un nouveau site vierge que l'on détruira à la fin de la procédure…

• clic droit sur le site web par défaut, Nouveau, Site, etc.
• dans les Propriétés du nouveau site, onglet Sécurité de répertoire(sic !) puis Certificat serveur, créer un nouveau certificat ;
• Les réponses à donner sont importantes, la plus importante étant le nom du site qui doit correspondre exactement à l'URL racine (Par exemple, pour http://www.tartempion.org, indiquer www.tartempion.org) ; le tout permet d'obtenir une demande de certificat.

• la demande est à transmettre à l'autorité de certification (en général, il suffit de copier/coller le contenu du fichier, y compris les marqueurs —–BEGIN… et —–END…
• En principe, le certificat est reçu en retour en format normalisé que l'on placera dans un fichier d'extension .cer (de même, il suffit de copier/coller depuis —-BEGIN CERTIFICATE— jusqu'à —-END CERTIFICATE—).

• retourner aux Propriétés du nouveau site, onglet Sécurité de répertoire puis Certificat serveur, Traiter la demande en attente ;
• installer le nouveau certificat (le fichier .cer créé à la première étape) ;
• arrêter le nouveau site ;
• redémarrer le nouveau site ;
• retourner (encore, si, si) aux Propriétés du nouveau site, onglet Sécurité de répertoire puis Certificat serveur, Supprimer le certificat actuel (re-sic !) ;

• aller dans les Propriétés du “vrai” site, onglet Sécurité de répertoire puis Certificat serveur, Remplacerle certificat actuel ;
• choisir le certificat installé à la deuxième étape
• =⇒ à partir de cet instant, le site web doit présenter le nouveau certificat - vérifier la prise en compte depuis un navigateur client.

• dans IIS, supprimer le site provisoire créé à l'étape 1 ;
• faire révoquer l'ancien certificat par son autorité de confiance (très important pour la sécurité) ;
• dans MMC (Démarrer, Exécuter : MMS) :
  • ajouter (Ctrl-M) le composant logiciel enfichable Certificats pour le compte de l'ordinateur, L'ordinateur local ;
  • supprimer l'ancien certificat du serveur ;
  • s'offrir un café bien mérité.

Ouf !