Partager via

Activer SSL pour tous les clients qui interagissent avec votre site web dans IIS

Cet article explique comment activer ssl (Secure Sockets Layer) pour tous les clients qui interagissent avec votre site web dans Microsoft Internet Information Services (IIS).

Version du produit d’origine : Internet Information Services
Numéro de base de connaissances d’origine : 298805

Résumé

Cet article contient les rubriques suivantes :

  • Comment configurer et activer des certificats de serveur afin que vos clients puissent être certains que votre site Web est valide et que toutes les informations qu’ils envoient à vous restent privées et confidentielles.
  • Comment utiliser des certificats tiers pour activer SSL (Secure Sockets Layer), ainsi qu’une vue d’ensemble générale du processus utilisé pour générer une demande de signature de certificat (CSR), utilisée pour obtenir un certificat tiers.
  • Comment activer la connectivité SSL pour votre site web.
  • Comment appliquer SSL pour toutes les connexions et définir la longueur de chiffrement requise entre vos clients et votre site Web.

Vous pouvez utiliser les fonctionnalités de sécurité SSL de votre serveur web pour deux types d’authentification. Vous pouvez utiliser un certificat de serveur pour permettre aux utilisateurs d’authentifier votre site Web avant de transmettre des informations personnelles, telles qu’un numéro de carte de crédit. En outre, vous pouvez utiliser des certificats clients pour authentifier les utilisateurs qui demandent des informations sur votre site web.

Cet article suppose que vous utiliserez une autorité de certification tierce pour fournir l’authentification pour votre serveur web.

Pour activer la vérification des certificats de serveur SSL et fournir le niveau de sécurité souhaité par vos clients, vous devez obtenir un certificat auprès d’une autorité de certification tierce. Les certificats émis à votre organisation par une autorité de certification tierce sont généralement liés au serveur Web, et plus précisément au site Web auquel vous devez lier SSL. Vous pouvez créer votre propre certificat avec le serveur IIS, mais si vous le faites, vos clients doivent implicitement vous approuver en tant qu’autorité de certification.

Cet article part des principes suivants :

  • Vous avez installé IIS.
  • Vous avez créé et publié le site web que vous souhaitez sécuriser avec SSL.

Obtenir un certificat

Pour commencer le processus d’obtention du certificat, vous devez générer une demande de signature de certificat. Pour ce faire, iis console de gestion doit être installé pour pouvoir générer une demande de signature de certificat. Une demande de signature de certificat est essentiellement un certificat que vous générez sur votre serveur qui valide les informations spécifiques à l’ordinateur sur votre serveur lorsque vous demandez un certificat auprès d’une autorité de certification tierce. La demande de signature de certificat est simplement un message texte chiffré chiffré avec une paire de clés publique/privée.

En règle générale, les informations suivantes sur votre ordinateur sont incluses dans la demande de signature de certificat que vous générez :

  • Organisation
  • Unité d'organisation
  • Pays/région
  • Département/Province
  • Ville/Localité
  • Nom courant

Note

Le nom commun est généralement composé du nom de votre ordinateur hôte et du domaine auquel il appartient, tel que xyz.com. Dans ce cas, l’ordinateur fait partie du domaine .com et est nommé XYZ. Il peut s’agir du serveur racine de votre domaine d’entreprise ou simplement d’un site web.

Générer la demande de signature de certificat

  1. Accédez à la console de gestion Microsoft IIS (MMC). Pour ce faire, cliquez avec le bouton droit sur Mon ordinateur , puis sélectionnez Gérer. Cela ouvre la console de gestion des ordinateurs. Développez la section Services et application . Recherchez IIS et développez la console IIS.

  2. Sélectionnez le site Web spécifique sur lequel vous souhaitez installer un certificat de serveur. Cliquez avec le bouton droit sur le site et sélectionnez Propriétés.

  3. Sélectionnez l’onglet Sécurité du répertoire. Dans la section Communication sécurisée, sélectionnez Certificat de serveur. L’Assistant Certificat de serveur web démarre. Cliquez sur Suivant.

  4. Sélectionnez Créer un certificat , puis sélectionnez Suivant.

  5. Sélectionnez Préparer la demande maintenant, mais envoyez-la ultérieurement, puis sélectionnez Suivant.

  6. Dans le champ Nom , entrez un nom que vous pouvez mémoriser. Par défaut, le nom du site Web pour lequel vous générez la demande de signature de certificat est défini par défaut.

    Note

    Lorsque vous générez la demande de signature de certificat, vous devez spécifier une longueur de bits. La longueur du bit de la clé de chiffrement détermine la force du certificat chiffré que vous envoyez à l’autorité de certification tierce. Plus la longueur du bit est élevée, plus le chiffrement est fort. La plupart des autorités de certification tierces préfèrent un minimum de 1 024 bits.

  7. Dans la section Informations de l’organisation, entrez les informations de votre organisation et de votre unité d’organisation. Cela doit être exact, car vous présentez ces informations d’identification à une autorité de certification tierce et vous devez vous conformer à leur licence du certificat. Sélectionnez Suivant pour accéder à la section Nom commun de votre site.

  8. La section Nom commun de votre site est chargée de lier le certificat à votre site web. Pour les certificats SSL, entrez le nom de l’ordinateur hôte avec le nom de domaine. Pour les serveurs Intranet, vous pouvez utiliser le nom NetBIOS de l’ordinateur qui héberge le site. Sélectionnez Suivant pour accéder aux informations géographiques.

  9. Entrez vos informations de pays ou de région, d’état ou de province et de ville ou de localité. Indiquez complètement votre état ou votre province et votre ville ou localité. Et n’utilisez pas d’abréviations. Cliquez sur Suivant.

  10. Enregistrez le fichier en tant que fichier .txt.

  11. Confirmez les détails de votre demande. Sélectionnez Suivant pour terminer, puis quittez l’Assistant Certificat de serveur web.

Demander le certificat

Il existe différentes méthodes d’envoi de votre demande. Contactez le fournisseur de certificats de votre choix pour la méthode à utiliser et pour déterminer le niveau de certificat le mieux adapté à vos besoins. Selon la méthode choisie pour l’envoi de votre demande à l’autorité de certification, vous pouvez envoyer le fichier CSR à l’étape 10 de la section Générer la demande de signature de certificat, ou vous devrez peut-être coller le contenu de ce fichier dans la demande. Ce fichier sera chiffré et contiendra un en-tête et un pied de page pour le contenu. Vous devez inclure à la fois l’en-tête et le pied de page lorsque vous demandez le certificat. Votre demande de signature de certificat doit ressembler à ce qui suit :

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Installer le certificat

Une fois que l’autorité de certification tierce a terminé votre demande de certificat de serveur, vous la recevrez par e-mail ou par site de téléchargement. Le certificat doit être installé sur le site Web sur lequel vous souhaitez fournir des communications sécurisées.

Pour installer le certificat, procédez comme suit :

  1. Téléchargez ou copiez le certificat que vous avez obtenu à partir de l’autorité de certification sur le serveur web.
  2. Ouvrez la console MMC IIS comme décrit dans la section Génération de la demande de signature de certificat.
  3. Accédez à la boîte de dialogue Propriétés du site Web sur lequel vous installez le certificat.
  4. Sélectionnez l’onglet Sécurité du répertoire, puis sélectionnez Certificat de serveur. L’Assistant Certificat de serveur web démarre. Cliquez sur Suivant.
  5. Sélectionnez Traiter la demande en attente et installer le certificat, puis sélectionnez Suivant.
  6. Accédez à l’emplacement du certificat que vous avez enregistré à l’étape 1. Sélectionnez Suivant deux fois, puis sélectionnez Terminer.

Appliquer des connexions SSL

Maintenant que le certificat de serveur est installé, vous pouvez appliquer des communications de canal sécurisé SSL avec les clients du serveur Web. Tout d’abord, vous devez activer le port 443 pour sécuriser les communications avec le site Web. Pour ce faire, procédez comme suit :

  1. Dans la console Gestion de l’ordinateur, cliquez avec le bouton droit sur le site web sur lequel vous souhaitez appliquer SSL et sélectionnez Propriétés.
  2. Sélectionnez l’onglet Site web. Dans la section Identification du site web, vérifiez que le champ Port SSL est rempli avec la valeur numérique 443.
  3. Sélectionnez Avancé. Vous devriez voir deux champs. L’adresse IP et le port du site Web doivent déjà être répertoriés dans les identités multiples pour ce champ de site web. Sous le champ Plusieurs identités SSL pour ce champ de site web, sélectionnez Ajouter si le port 443 n’est pas déjà répertorié. Sélectionnez l’adresse IP du serveur et tapez la valeur numérique 443 dans le champ Port SSL. Cliquez sur OK.

Maintenant que le port 443 est activé, vous pouvez appliquer des connexions SSL. Pour ce faire, procédez comme suit :

  1. Sélectionnez l’onglet Sécurité du répertoire. Dans la section Communication sécurisée, Edit est désormais disponible. Sélectionnez Modifier.

  2. Sélectionnez Exiger un canal sécurisé (SSL) .

    Note

    Si vous spécifiez un chiffrement 128 bits, les clients qui utilisent un navigateur 40 bits ou 56 bits ne pourront pas communiquer avec votre site, sauf s’ils mettent à niveau leur force de chiffrement.

  3. Ouvrez votre navigateur et essayez de vous connecter à votre serveur web à l’aide du protocole standard http:// . Si SSL est appliqué, vous recevez le message d’erreur suivant :

    La page doit être consultée sur un canal sécurisé
    La page que vous essayez d’afficher nécessite l’utilisation de « https » dans l’adresse.
    Essayez ce qui suit : réessayez en tapant https:// au début de l’adresse que vous tentez d’atteindre. HTTP 403.4 - Interdit : Ssl requis pour les services Internet Information Services
    Informations techniques (pour le personnel de support) En arrière-plan : cette erreur indique que la page à laquelle vous essayez d’accéder est sécurisée avec SSL (Secure Sockets Layer).

Vous pouvez maintenant vous connecter à votre site web uniquement à l’aide du protocole https:// .