Windows Server 2012 - Sécuriser son serveur web IIS grâce à SSL (HTTPS)

Page 1 / 1
  • Publié le : 17 février 2016 à 20:02
  • Par Lionel Eppe

Si vous souhaitez sécuriser votre site web ou toute autre interface web sur un serveur fonctionnant avec Windows Server, vous devrez demander et ajouter un certificat SSL dans votre serveur web IIS.

  1. Créer une demande de certificat (CSR)
  2. Générer un certificat SSL en utilisant l'autorité de certification de Windows Server
  3. Ajouter le certificat dans IIS pour activer le protocole HTTPS de votre site web

1. Créer une demande de certificat (CSR)

Pour créer une demande de certificat, ouvrez le gestionnaire des services Internet (IIS), sélectionnez votre serveur web à gauche et cliquez sur "Certificats de serveur" au centre.

Dans la colonne de droite, cliquez sur le lien "Créer une demande de certificat".
Note : pour un serveur web de test, vous pourriez cliquer sur le lien "Créer un certificat auto-signé". Ceci dit, un certificat auto-signé ne fonctionnera pas avec les technologies Citrix, les RemoteApp, ...

Pour la demande de certificat, indiquez :

  • un nom commun : le nom de domaine de votre site web. Exemples : www.mon-site.com ou *.mon-site.com (ce certificat sera valable pour tous les sous-domaines de "mon-site.com", mais il est souvent plus cher)
  • Organisation : le nom de votre entreprise ou le nom de votre site
  • Unité d'organisation : ce que vous voulez
  • Ville : la ville dans laquelle le propriétaire du site ou l'entreprise se trouve
  • Département/région : idem mais pour la région ou le département
  • Pays/région : le pays dans lequel vous vous trouvez.

IMPORTANT : si vous souhaitez obtenir un certificat valide auprès d'une autorité de certification reconnue, ces informations doivent être correctes. Sinon, l'autorité de certification refusera probablement votre demande de certificat.
Note : dans notre cas, nous allons créer le certificat SSL avec notre autorité de certification créée sous Windows Server, donc la ville/région et le pays ne seront pas vérifiés.

Ensuite, sélectionnez la taille de la clé de chiffrement.
Ce choix dépend de l'autorité de certification qui génèrera votre certificat SSL.

Plus cette valeur est élevée, plus le chiffrement est meilleur. Néanmoins, renseignez-vous auprès de l'autorité de certification voulue pour savoir quelle taille de clé elle supporte.

Pour terminer, cliquez sur le bouton "..." pour enregistrer la demande de certificat dans un fichier.
Puis, cliquez sur "Terminer".

Comme vous pouvez le voir, la demande de certificat est cryptée et elle commence/termine par des lignes "-----... NEW CERTIFICATE REQUEST-----".

2. Générer un certificat SSL en utilisant l'autorité de certification de Windows Server

Pour obtenir un certificat SSL valide, vous avez plusieurs possibilités :

  • vous inscrire sur une autorité de certification payante comme Symantec SSL (anciennement VeriSign) ou GeoTrust. Dans ce cas, votre certificat SSL sera valide sur n'importe quel PC et n'importe quel périphérique réseau.
  • vous inscrire sur une autorité de certification gratuite comme StartSSL. Dans ce cas, votre certificat SSL sera aussi valide sur tous les PC, ...
  • utiliser une autorité de certification sous Linux ou sous Windows Server pour ne pas payer de certificat SSL. Dans ce cas, le certificat SSL ne sera valable que sur les PC souhaités.*

* Lorsque vous utilisez une autorité de certification que vous créez sur votre serveur, les certificats générés seront considérés comme invalides par les ordinateurs du monde entier, car le certificat de votre autorité de certification ne se trouve pas dans les autorités de certification de confiance présentes par défaut sous Windows. Pour qu'un ordinateur ou un smartphone considère vos certificats comme valides, il faut que vous ajoutiez le certificat de votre autorité dans les certificats d'autorités de confiances des ordinateurs de votre réseau.
Donc, cette solution est très pratique pour un environnement de test ou d'un intranet. Cela vous permettra de sécuriser les connexions des technologies Citrix, RemoteApp, ... sans aucun problème. En effet, si votre configuration est bonne, les solutions Citrix et RemoteApp considèreront vos certificats comme valides.

Bref, dans notre cas, nous allons générer notre certificat grâce à notre autorité de certification sous Windows Server.
Pour cela, on accède à l'adresse "https://ad-server.informatiweb.lan/certsrv" et on se connecte avec le compte admin du serveur "ad-server".

  • On colle le contenu du fichier de demande de certificat (avec les lignes "-----... NEW CERTIFICATE REQUEST-----")
  • On sélectionne "modèle de certificat : Serveur Web"
  • On clique sur Envoyer

Une fois le certificat généré, on voit que :

3. Ajouter le certificat dans IIS pour activer le protocole HTTPS de votre site web

Pour terminer, vous devez d'abord ajouter le certificat SSL généré dans les certificats de serveur de IIS.
Pour cela, cliquez sur le lien "Terminer la demande de certificat" dans la colonne de droite.

Sélectionnez le certificat généré par l'autorité de certification (ce qui appelé ici : réponse de l'autorité de certification).
Puis, indiquez un nom convivial (ce que vous voulez pour donner un nom à ce certificat).
Et sélectionnez un magasin de certificats pour ce certificat. Ce choix n'a pas d'importance.

Ensuite, allez dans le menu "Affichage" et cliquez sur "Actualiser" pour que le certificat s'affiche.

Maintenant, votre certificat se trouve dans les certificats de serveur d'IIS.

Pour terminer, vous devez ajouter le protocole https (la liaison https sous IIS).
Pour cela, sélectionnez le site web à sécuriser via SSL (protocole https), et cliquez sur "Liaisons" dans la colonne de droite.

Ajoutez le type "https" pour le port "443".
Indiquez le nom de domaine de ce site.
Puis, sélectionnez le certificat SSL que nous venons d'ajouter.

Comme vous pouvez le voir, notre site web "iw-web-server.informatiweb.lan" est bien protégé par un certificat SSL émanant de l'autorité de certification "InformatiWeb CA" pour le protocole https.