SSL est un élément essentiel de la sécurisation de votre site IIS 7.0 et de la création d’un certificat auto-signé dans IIS 7 est beaucoup plus facile à faire que dans les versions précédentes d’IIS. Les certificats SSL activent le cryptage de tout le trafic envoyé vers et depuis votre site Web IIS, empêchant les autres de consulter les informations sensibles. Il utilise la cryptographie à clé publique pour établir une connexion sécurisée. Cela signifie que tout ce qui est chiffré avec une clé publique (le certificat SSL) ne peut être déchiffré qu’avec la clé privée et vice versa.
Quand utiliser un certificat auto-signé IIS
N’utilisez jamais de certificat auto-signé sur un site de commerce électronique ou sur un site qui transfère des informations personnelles précieuses comme des cartes de crédit, des numéros de sécurité sociale, etc.
Un certificat SSL a plusieurs objectifs: distribuer la clé publique et, lorsqu’il est signé par un tiers de confiance, vérifier l’identité du serveur afin que les clients sachent qu’ils n’envoient pas leurs informations (cryptées ou non) à la mauvaise personne. Un certificat auto-signé est un certificat signé par lui-même plutôt que par un tiers de confiance. Cela signifie que vous ne pouvez pas vérifier que vous vous connectez au bon serveur, car tout attaquant peut créer un certificat auto-signé et lancer une attaque de type « man-in-the-middle ». Pour cette raison, vous ne devriez presque jamais utiliser de certificat auto-signé sur un serveur IIS public qui oblige les visiteurs anonymes à se connecter à votre site. Cependant, les certificats auto-signés peuvent être appropriés dans certaines situations:
- Les certificats auto-signés peuvent être utilisés sur un intranet. Lorsque les clients n’ont pour passer par un intranet local pour accéder au serveur, il n’y a pratiquement aucune chance d’attaque de type « man-in-the-middle ».
- Les certificats auto-signés peuvent être utilisés sur un serveur de développement IIS. Il n’y a pas besoin de dépenser plus d’argent pour acheter un certificat de confiance lorsque vous développez ou testez une application.
- Les certificats auto-signés peuvent être utilisés sur des sites personnels avec peu de visiteurs. Si vous avez un petit site personnel qui transfère des informations critiques, il y a très peu d’incitation pour quelqu’un pour attaquer la connexion.
Gardez simplement à l’esprit que les visiteurs verront un avertissement dans leur navigateur (comme celui ci-dessous) lors de la connexion à un site IIS qui utilise un certificat auto-signé jusqu’à ce qu’il soit stockés en permanence dans leur magasin de certificats. N’utilisez jamais de certificat auto-signé sur un site de commerce électronique ou sur un site qui transfère des informations personnelles précieuses telles que des cartes de crédit, des numéros de sécurité sociale, etc.
Comparez les certificats SSL de confiance
Générez votre certificat auto-signé IIS
Vous savez maintenant quand utiliser un certificat auto-signé IIS et quand pas. Maintenant, créons-en un:
- Cliquez sur le menu Démarrer, allez dans Outils d’administration et cliquez sur Gestionnaire des services Internet (IIS).
- Cliquez sur le nom du serveur dans la colonne Connexions à gauche. Double-cliquez sur Certificats de serveur.
- Dans la colonne Actions à droite, cliquez sur Créer un certificat auto-signé. .
- Saisissez un nom convivial, puis cliquez sur OK.
- Vous disposerez désormais d’un certificat auto-signé IIS valable 1 an répertorié sous Certificats de serveur. Le nom commun du certificat (émis à) est le nom du serveur. Il ne nous reste plus qu’à lier le certificat auto-signé au site IIS.
Lier le certificat auto-signé
- Dans la colonne Connexions à gauche, développez le dossier sites et cliquez sur le site Web auquel vous souhaitez lier le certificat. Cliquez sur Liaisons … dans la colonne de droite.
- Cliquez sur le bouton Ajouter …
- Changez le Type en https, puis sélectionnez le certificat SSL que vous venez d’installer. Cliquez sur OK.
- Vous verrez maintenant la liaison pour le port 443 répertoriée. Cliquez sur Fermer.
- Testons maintenant le certificat auto-signé IIS en accédant au site avec https dans notre navigateur ( par exemple https://site1.mydomain.com). Lorsque vous le faites, vous devriez voir l’avertissement suivant indiquant que « Le certificat de sécurité présenté par ce site Web a été émis pour une » adresse de site Web différente « (une erreur de non-correspondance de nom ).
Ceci est affiché car IIS utilise toujours le nom du serveur (dans ce cas WIN-PABODPHV6W3) comme nom commun quand il crée un certificat auto-signé. Cela ne correspond généralement pas au nom d’hôte que vous utilisez pour accéder au site dans votre navigateur (site1.mydomain.com). Dans de nombreuses situations où des certificats auto-signés IIS sont utilisés, ce n’est pas un problème.Cliquez simplement sur « Continuer sur ce site Web » à chaque fois. Cependant, si vous voulez vous débarrasser complètement des messages d’erreur, vous devrez suivre les deux étapes suivantes ci-dessous.
Générer un certificat auto-signé avec le bon commun Nom
Cette étape n’est requise que si vous souhaitez supprimer le message d’avertissement affiché car le nom commun sur le certificat auto-signé ne correspond pas au nom d’hôte du site Web. Afin de résoudre ce problème, nous devrons créer le certificat auto-signé en utilisant la même méthode que celle utilisée pour créer un certificat auto-signé dans IIS 6.0 (avec SelfSSL au lieu de via IIS).
- Télécharger les services Internet (IIS) 6.0 Resource Kit Tools et installez SelfSSL 1.0 (si vous effectuez une installation personnalisée, vous pouvez tout décocher sauf SelfSSL). Une fois installé, cliquez sur le menu Démarrer, allez dans Ressources IIS, puis sur SelfSSL et exécutez SelfSSL.
- Coller dans la commande suivante et remplacez site1.mydomain.com par le nom d’hôte de votre site IIS. Si vous recevez le message d’erreur « Erreur lors de l’ouverture de la métabase: 0x80040154 », ignorez-le. Nous lierons manuellement le certificat au site Web.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Une fois la commande terminée, vous aurez un certificat auto-signé IIS avec le nom commun correct répertorié dans la section Certificats de serveur d’IIS. Suivez maintenant les instructions ci-dessus pour lier le certificat à votre site Web IIS.
- Après avoir lié le nouveau certificat à votre IIS site, visitez-le avec https dans votre navigateur Web et vous rencontrerez une autre erreur: « Le certificat de sécurité présenté par ce site Web n’a pas été émis par une autorité de certification de confiance. » (l’erreur SSL Certificate Not Trusted)
Ne vous inquiétez pas; c’est la dernière erreur que nous devrons corriger. C’est une erreur normale pour nous-mêmes certificats signés car le certificat est signé par lui-même au lieu d’un fournisseur SSL de confiance. Tous les visiteurs du site verront cette erreur à moins qu’ils n’importent le certificat auto-signé dans leur magasin d’autorités de certification racine de confiance (ou dans le magasin de certificats SSL approprié pour le navigateur qu’ils utilisent). Vous pouvez facilement ajouter le certificat auto-signé IIS au magasin sur le serveur en suivant les instructions ci-dessous. Si vous devez importer le certificat sur une autre machine Windows, suivez simplement les instructions pour déplacer ou copier un Certificat SSL d’un serveur Windows.
Ajouter le certificat auto-signé aux autorités de certification racine de confiance
- Cliquez sur le menu Démarrer, puis sur Exécuter.
- Tapez mmc et cliquez sur OK.
- Cliquez sur le fichier et cliquez sur Ajouter / Supprimer un composant logiciel enfichable …
- Double-cliquez sur Certificats.
- Cliquez sur Compte d’ordinateur, puis sur Suivant.
- Laissez l’ordinateur local sélectionné et cliquez sur Terminer.
- Développez l’élément Certificats sur la gauche et développez le dossier Personnel . Cliquez sur le dossier Certificats et faites un clic droit sur le certificat auto-signé que vous venez de créer et sélectionnez Copier.
- Développez le Dossier Autorités de certification racines de confiance et cliquez sur le dossier Certificats en dessous. Cliquez avec le bouton droit de la souris dans la zone blanche sous les certificats et cliquez sur Coller.
- Vous pouvez maintenant visiter votre site avec https dans votre navigateur Web et vous ne devriez recevoir aucune erreur car Windows fera désormais automatiquement confiance à votre certificat auto-signé IIS.
Pour plus d’informations sur la génération d’un certificat auto-signé IIS, consultez les liens suivants:
- Installation d’un certificat SSL dans Windows Server 2008 (IIS 7.0)
- Conseil / astuce : Activation de SSL sur IIS 7.0 à l’aide de certificats auto-signés
- Certificats auto-signés IIS sur IIS 7 – le moyen le plus simple et le plus efficace
Publié à l’origine le samedi octobre 23, 2010