Qu'est-ce qu'un modèle de certificat, comment les configurer et en créer de nouveaux sous Windows Server 2016 ?

  • Windows Server
  • AD CS
  • 3/3

6.2. Demander un certificat pour le serveur web IIS depuis la console mmc

Pour l'exemple, nous allons lancer la console "mmc" sur ce nouveau serveur web pour demander un certificat depuis celui-ci.
Notez qu'il est important d'effectuer la demande du certificat depuis ce serveur étant donné que nous avons choisi l'option "Construire à partir de ces informations Active Directory" dans l'onglet "Nom du sujet" lors de la création de notre nouveau modèle de certificat.

Dans la console "mmc" qui apparait, cliquez sur : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "Certificats" et cliquez sur : Ajouter.

Sélectionnez "Un compte d'ordinateur" étant donné que le certificat devra être généré en utilisant le nom de l'objet ordinateur correspondant à votre serveur.

Laissez l'option "L'ordinateur local ..." sélectionnée et cliquez sur Terminer.

Cliquez sur OK.

Une fois le composant "Certificats" ajouté, vous le verrez apparaitre sous le nom "Certificats (ordinateur local)".
Déployez celui-ci et faites un clic droit "Toutes les tâches -> Demander un nouveau certificat" sur "Personnel".

L'assistant "Inscription de certificats" apparait.
Cliquez sur Suivant.

Cliquez sur Suivant.

Si le modèle de certificat que vous venez de créer n'apparait pas, cochez la case "Afficher tous les modèles" pour obtenir plus d'informations sur la raison pour laquelle celui-ci n'apparait pas.

La 1ère possibilité est :

Plain Text

Statut : Non disponible.
Les autorisations sur le modèle de certificat n'autorisent pas l'utilisateur actuel à s'inscrire pour ce type de certificat.
Vous n'avez pas l'autorisation de demander ce type de certificat.

Cause : cette erreur signifie que l'utilisateur avec lequel vous êtes connecté et/ou l'ordinateur ou serveur depuis lequel vous tentez de demander un certificat n'ont pas le droit d'inscrire un certificat en utilisant ce modèle de certificat.

Solution : pour régler ce problème, assurez-vous que vous avez accordé le droit "Inscrire" à l'utilisateur avec lequel vous êtes connecté, ainsi qu'à l'ordinateur sur lequel vous avez lancé la console "mmc" actuelle.

La 2ème possibilité est :

Plain Text

Statut : Non disponible.
Une chaine de certificats a été traitée mais s'est terminée par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation.
Une autorité de certification valide configurée pour émettre des certificats basés sur ce modèle est introuvable, l'autorité de certification ne prend pas en charge cette opération ou cette autorité de certification n'est pas approuvée.

Cause : cette erreur signifie que le certificat de votre autorité de certification d'entreprise ne fait pas partie des autorités de certification de confiance de votre ordinateur ou serveur.

Solution : pour régler ce problème, forcez la mise à jour de la stratégie de votre ordinateur ou serveur en lançant la commande "gpupdate /force" pour que le certificat de votre autorité de certification d'entreprise soit automatiquement ajouté dans le magasin de certification "Autorités de certification racines de confiance" de votre ordinateur ou serveur via l'Active Directory.
OU, exportez le certificat de votre autorité de certification SANS la clé privée (donc au format ".cer), puis importez-le manuellement dans le magasin de certificats "Autorités de certification racines de confiance" de votre ordinateur ou serveur via la console "mmc" actuellement ouverte.

Ensuite, relancez cet assistant d'inscription de certificats.

Une fois les problèmes éventuels (ci-dessus) corrigés, votre nouveau modèle de certificat apparaitra.
Sélectionnez-le et cliquez sur Inscription.

Si un message d'erreur "Le serveur RPC n'est pas disponible. 0x800706ba" apparait et que vous venez juste d'installer votre autorité de certification, redémarrez complètement le serveur où vous avez installé les services de certificats Active Directory (Autorité de certification) et réessayez.
L'erreur ne devrait plus se produire.

Si tout se passe bien, l'inscription du certificat réussira.
Cliquez sur Terminer.

Dans le magasin de certificats "Personnel" de votre serveur, vous verrez un nouveau certificat apparaitre et comme vous pouvez le voir :

  • Délivré à : ce certificat est valide pour le nom de domaine de votre serveur web.
  • Délivré par : ce certificat a été délivré par votre autorité de certification.
  • Date d'expiration : ce certificat expire dans 2 ans.
  • Rôles prévus : ce certificat est utilisé pour l'authentification du serveur.

Si vous faites un double clic sur ce certificat, étant donné qu'il s'agit de votre propre certificat (magasin de certificats : Personnel), vous possédez également la clé privée associée à ce certificat.
En haut de la fenêtre, vous pouvez également voir que ce certificat est conçu pour garantir l'identité d'un ordinateur distant (dans ce cas-ci : notre serveur web).

Dans le champ "Objet", vous verrez que le nom commun (CN) a bien été indiqué dans ce certificat depuis les informations de votre domaine Active Directory.
En l'occurrence, il s'agit du nom de domaine du serveur web pour lequel nous venons de demander ce certificat.

Dans le champ "Informations du modèle de certificat", vous verrez le nom de votre nouveau modèle de certificat apparaitre, ainsi qu'un long identifiant unique (composé de points et de chiffres) qui identifie ce modèle de manière unique.

Dans le champ "Utilisation avancée de la clé", vous verrez que ce certificat est utilisé pour l'authentification du serveur (autrement dit : prouver l'identité du serveur concerné).

Dans le champ "Stratégies d'application", vous verrez à nouveau la stratégie "Authentification du serveur" apparaitre.

Dans le champ "Autre nom de l'objet", vous verrez le nom DNS apparaitre.

Note : un certificat est valide pour le nom commun (CN) indiqué dans celui-ci, ainsi que le ou les noms DNS qui y sont également inclus.
Ce qui est pratique pour sécuriser un serveur web avec un seul certificat qui serait valide pour un domaine "exemple.lan", ainsi que son sous-domaine "www" (donc : www.exemple.lan).

Notez que lorsque votre autorité de certification délivre un certificat (que ce soit un serveur, un ordinateur, un contrôleur de domaine ou un utilisateur), une copie de celui-ci sera disponible dans la section "Certificats délivrés" de votre autorité de certification.

Attention : la copie du certificat disponible sur votre autorité de certification ne contiendra pas la clé privée associée.

6.3. Sécuriser le serveur web IIS avec le certificat demandé

Sur le serveur où vous avez installé le rôle "Serveur Web (IIS)", ouvrez le gestionnaire des services Internet (IIS) et sélectionnez le nom de votre serveur (à gauche).
Ensuite, au centre, faites un double clic sur "Certificats de serveur".

La liste des certificats de serveur apparait.
Etant donné que le certificat et sa clé associée se trouvent déjà dans le magasin "Personnel" de notre serveur, IIS le détecte automatiquement.

Si celui-ci n'apparait pas ici, exportez-le au format ".pfx" en utilisant la console "mmc" (par exemple), puis cliquez sur le lien "Importer" (en haut à droite).

Cliquez sur le bouton "..." pour sélectionner le certificat exporté précédemment, indiquez le mot de passe protégeant la clé privée (indiqué lors de l'exportation du certificat et de la clé privée), puis cliquez sur OK.

Une fois que votre serveur IIS connait l'existence de votre certificat et de sa clé privée associée, vous devrez aller dans "[nom de votre serveur web] -> Sites -> Default Web Site" et cliquez sur le lien "Liaisons" (en haut à droite).

Dans la fenêtre "Laisons de sites" qui apparait, cliquez sur : Ajouter.

Sélectionnez "Type : https", puis sélectionnez votre certificat dans la liste "Certificat SSL" qui apparait.

Ensuite, cliquez sur OK.

La nouvelle liaison "https" (écoutant sur le port TCP 443) apparait.
Cliquez sur Fermer.

Cliquez sur le lien "Redémarrer" (à droite).

Pour tester la validité du certificat, indiquez le nom de votre serveur web dans la barre d'adresse d'Internet Explorer ou de Google Chrome en utilisant le protocole "https".
Comme vous pouvez le voir, aucun avertissement n'apparait et Internet Explorer vous indique que "[nom de votre CA]" a identifié ce site comme suit : [nom commun de votre serveur web].

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.