Installer l'interface web d'une autorité de certification (CA) sous Windows Server 2016

7. Demander un certificat pour un serveur web en utilisant cette interface web

Maintenant que vous possédez une interface web pour demander des certificats, voici comment en demander un pour un serveur web IIS (par exemple).

Pour cet exemple, nous avons installé un serveur supplémentaire nommé "web" et nous l'avons joint à notre domaine "informatiweb.lan".
Ce serveur web sera donc accessible avec le nom de domaine : web.informatiweb.lan.

Pour commencer, dans le gestionnaire des services Internet (IIS) de ce nouveau serveur, sélectionnez votre serveur web, puis allez dans : Certificats de serveur.

Dans la colonne de droite, cliquez sur : Créer une demande de certificat.

Indiquez les informations demandées par IIS :

• Nom commun : le nom de domaine de votre serveur web.
• Organisation : le nom de votre entreprise.
• Unité d'organisation : une indication vous permettant de "regrouper" vos certificats. Vous pouvez indiquer ce que vous voulez.
• Ville : la ville où se trouve votre entreprise.
• Département/région : le département ou la région où se trouve votre entreprise.
• Pays/région : code du pays où se trouve votre entreprise.

Important : l'information la plus importante est le nom commun que vous indiquez dans ce formulaire.
En effet, pour que votre navigateur web considère le futur certificat comme valide, il faut absolument que le nom commun indiqué ici corresponde au nom de domaine que vous indiquerez dans la barre d'adresse de votre navigateur web pour accéder au site web hébergé sur celui-ci.

Choisissez le fournisseur et la longueur de clé correspondant aux paramètres de votre autorité de certification.
Dans notre cas, nous sélectionnons "2048" pour que la taille de clé du certificat qui sera délivré corresponde à la taille de clé utilisée pour le certificat de notre autorité de certification.

Cliquez sur le bouton "..." pour choisir où vous souhaitez enregistrer la demande de certificat (que vous enverrez ensuite à votre autorité de certification).

La demande de certificat sera enregistrée au format texte.

Note : le bouton est nommé "Ouvrir", mais cela aurait dû être "Enregistrer".

Cliquez sur Terminer.

Le fichier contenant la demande de certificat a été créé.

Si vous ouvrez ce fichier texte, vous verrez que son contenu ressemble à ceci :

Plain Text

-----BEGIN NEW CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
-----END NEW CERTIFICATE REQUEST-----

Ce format correspond à une demande de certificat codé en base 64.

Accédez à la version sécurisée (HTTPS) de l'interface web de votre autorité de certification et authentifiez-vous en tant qu'administrateur du domaine (ou un autre utilisateur étant autorisé à inscrire des certificats pour des serveurs web).

Dans l'interface web de votre autorité de certification, cliquez sur le lien : Demander un certificat.

Ensuite, cliquez sur le lien : demande de certificat avancée.

Et enfin, sur le long lien : Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.

Copiez/collez la demande de certificat créé sur votre disque dur par IIS dans la case "Base-64-encoded Requête de certificat (CMC ou PKCS #10 ou PKCS #7)", puis sélectionnez le modèle de certificat créé précédemment vous permettant de sécuriser un serveur web.

Ensuite, cliquez sur Envoyer.

Un avertissement s'affichera pour vous prévenir que ce site web tente d'effectuer une opération de certificat numérique en votre nom.
Autorisez cette opération en cliquant sur Oui.

Le certificat a été émis.

Comme vous pouvez le voir, vous avez la possibilité de télécharger ce certificat dans 2 formats :

• Codé DER : format Microsoft.
• Codé en base 64 : format Linux. Ce format a pour avantage de pouvoir être ouvert avec le bloc-notes pour simplifier son importation sur le service que vous souhaitez protéger avec ce certificat.

Pour les liens de téléchargement, vous aurez le choix entre :

• Télécharger le certificat : permet de télécharger uniquement le certificat (SANS sa clé privée associée).
  Le fichier téléchargé sera au format ".cer".
• Télécharger la chaine de certificats : permet de téléchargement ce certificat (SANS sa clé privée associée), ainsi que les certificats parents (autorité de certification racine et autorité de certification secondaire (si applicable)).
  Le fichier téléchargé sera au format ".p7b".

Cliquez sur le lien "Télécharger le certificat" et un fichier "certnew.cer" sera proposé au téléchargement (ou téléchargé automatiquement en fonction du paramétrage de votre navigateur web).

Le certificat a été téléchargé sur votre disque dur.

Si vous l'ouvrez, vous verrez que ce certificat :

• est conçu pour garantir l'identité d'un ordinateur distant
• a été délivré à : nom de domaine de votre serveur web
• a été délivré par votre autorité de certification
• est valide pendant 2 ans (ou la durée que vous avez spécifiée dans le modèle de certificat choisi lors de la demande du certificat)

Attention : comme vous pouvez le voir, la clé privée associée au certificat n'est pas présente dans le certificat téléchargé.
D'ailleurs, il n'est pas possible de télécharger le certificat avec sa clé privée depuis cette interface web.
Néanmoins, vous verrez un peu plus tard que la clé privée associée à celui-ci est cachée sur votre ordinateur ou serveur.

Dans la section "Certificats de serveur" du gestionnaire des services Internet (IIS), vous remarquerez qu'aucun certificat n'apparait pour le moment.
En effet, pour que celui-ci apparaisse, vous devez d'abord cliquer sur "Terminer la demande de certificat" (dans la colonne de droite).

Dans la fenêtre "Terminer la demande de certificat" qui apparait, cliquez sur le bouton "...".

Sélectionnez le certificat téléchargé au format ".cer" et cliquez sur Ouvrir.

Indiquez un nom convivial pour ce certificat.
Par exemple : le nom de domaine indiqué en tant que nom commun (CN) dans ce certificat.

Puis, sélectionnez dans quel magasin de certificat vous souhaitez importer celui-ci.
Vous avez le choix entre "Personnel" et "Hébergement Web". Néanmoins, ce choix n'a pas vraiment d'importance.
Cela indique simplement dans quel magasin de certificat vous retrouverez celui-ci si vous utilisez le composant "Certificats" de la console "mmc".

Maintenant, votre nouveau certificat délivré par votre autorité de certification apparait dans la liste des certificats de serveur de IIS.

Si vous ouvrez la console "mmc" sur ce serveur et que vous ajoutez le composant "Certificats" dans celle-ci pour l'ordinateur local, vous verrez que votre nouveau certificat (importé dans le magasin de certificats "Personnel" ou "Hébergement Web") est présent.
Mais, cette fois-ci, la clé privée associée à celui-ci est présente.
Vous pourrez donc exporter ce certificat au format ".cer" (sans la clé privée) ou au format ".pfx" (avec la clé privée) si vous le souhaitez.

Comme prévu, si vous faites un double clic sur le certificat affiché par la console "mmc", vous verrez que la clé privée associée à ce certificat est bien présente.

8. Sécuriser le nouveau serveur web

Maintenant que vous possédez un nouveau certificat pour votre nouveau serveur web et que IIS le reconnait, vous pouvez sécuriser l'accès à ce nouveau serveur web en rajoutant la liaison de site "https" comme expliqué précédemment.

Sélectionnez votre site web par défaut "Default Web Site" et cliquez sur : Liaisons.

Cliquez sur : Ajouter.

Sélectionnez "Type : https" et "Certificat SSL : nom de votre nouveau certificat", puis cliquez sur OK.

Ensuite, redémarrez ce site web.

Si vous tentez d'accéder à votre nouveau serveur web via le protocole HTTPS, vous verrez que le certificat utilisé émane de votre autorité de certification et que votre navigateur web le considère comme valide.