• Installer et configurer la CA racine et secondaire
• Sécuriser un serveur web IIS

5. Sécuriser l'accès à l'interface web de votre CA en HTTPS

Pour commencer, sélectionnez le site web par défaut "Default Web Site" dans la colonne de gauche, puis cliquez sur "Liaisons" (dans la colonne de droite).

Dans la fenêtre "Liaisons de sites" qui apparait, cliquez sur Ajouter.

Sélectionnez "https" pour le type de liaison de site.

Comme prévu, le port correspondant est : 443.

Dans la liste "Certificat SSL", sélectionnez le nouveau certificat inscrit (dont le nom commun correspond au nom de votre serveur).
Notez que le certificat SSL apparait sous son nom convivial si celui-ci est défini ou le nom commun (CN) défini dans celui-ci dans le cas contraire.

Vous pouvez vérifier le certificat sélectionné en cliquant sur "Afficher" si besoin.
Ensuite, cliquez sur OK.

La nouvelle liaison de sites "https" apparait.
Cliquez sur Fermer.

Dans la colonne de droite, cliquez sur : Redémarrer.

Accédez à nouveau à l'interface web de votre autorité de certification en utilisant le protocole "HTTPS" au lieu de "HTTP" et authentifiez-vous avec le même utilisateur que précédemment.

Comme précédemment, vous devrez cliquer 2 fois sur "Ajouter" si la configuration de sécurité renforcée d'Internet Explorer est activée.

Ensuite, l'interface web de votre autorité de certification apparaitra.

Si vous cliquez sur l'icône représentant un certificat, vous verrez que votre autorité de certification a identifié ce site comme suit : [nom de domaine du serveur].

Notez que vous ne pourrez accéder de façon sécurisée à cette interface qu'en indiquant le nom complet de votre serveur.
Si vous indiquez un autre nom (comme son nom NETBIOS) ou son adresse IP, votre navigateur web vous affichera un avertissement étant donné que le nom indiqué dans la barre d'adresse ne correspond pas au nom commun (nom de domaine de votre serveur) qui se trouve dans le certificat utilisé.

Plain Text

Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web.

6. Bloquer l'accès non sécurisé (HTTP) de l'interface web de votre CA

Pour éviter d'accéder à la version non sécurisée de l'interface web de votre autorité de certification, vous pouvez facilement bloquer l'accès non sécurisé (HTTP) au site web par défaut hébergeant notamment cette interface web.

Pour cela, dans le gestionnaire des services Internet (IIS), sélectionnez votre site web par défaut "Default Web Site", puis faites un double clic sur "Paramètres SSL".

Cochez la case "Exiger SSL", puis cliquez sur "Appliquer" (dans la colonne de droite).

Note : l'option "Certificats client" concerne l'authentification avec un certificat utilisateur.
Vous n'avez donc pas besoin de modifier ce paramètre étant donné qu'il ne vous intéresse pas dans ce cas-ci.

Une fois ce changement sauvegardé, le message "Les modifications ont été correctement enregistrées" apparaitra.

Maintenant, si vous tentez d'accéder à la version non sécurisée (HTTP) de l'interface web de votre autorité de certification, votre serveur web IIS bloquera l'accès en affichant un message d'erreur :

Plain Text

Erreur HTTP 403.4 - Forbidden.
La page à laquelle vous tentez d'accéder est sécurisée avec SSL (Secure Sockets Layer).
...
La demande de page a été effectuée via HTTP, mais pour le serveur, la demande doit être transmise par un canal sécurisé utilisant HTTPS.

Néanmoins, si vous accédez à la version sécurisée (HTTPS) de cette interface web, vous verrez que cela fonctionne toujours.