Sécuriser un serveur web IIS sous Windows Server 2016

4. Demander un certificat pour le serveur web IIS via l'interface web de votre autorité de certification

4.1. Créer une demande de certificat depuis le gestionnaire des services Internet (IIS)

La 2ème possibilité pour demander un certificat valide pour votre serveur web est de créer une demande de certificat depuis le gestionnaire des services Internet (IIS) de votre serveur web IIS et de soumettre celle-ci à votre autorité de certification via son interface web.
Néanmoins, cela nécessite évidemment que l'interface web de votre autorité de certification soit installée.

Pour commencer, dans le gestionnaire des services Internet (IIS) de votre serveur, sélectionnez le nom de votre serveur et allez dans la section : Certificats de serveur.
Puis, cliquez sur le lien "Créer une demande de certificat" présent dans la colonne de droite.

Dans la fenêtre "Demande de certificat" qui apparait, spécifiez :

• Nom commun : nom complet de votre serveur web ou le nom de domaine d'un site web hébergé sur celui-ci si ce site web est accessible avec un nom de domaine différent de celui de votre serveur web.
• Organisation : nom de votre entreprise.
• Unités d'organisation : un nom vous permettant de regrouper virtuellement vos certificats.
  Par exemple : Serveurs web.
• Ville : ville dans laquelle se trouve votre entreprise.
• Département/région : département/région dans laquelle se trouve votre entreprise.
• Pays/région : pays/région où se trouve votre entreprise.

Ensuite, cliquez sur Suivant.

Laissez le fournisseur de services de chiffrement par défaut si vous ne savez pas quoi sélectionner et changez la taille de clé (longueur en bits) à utiliser pour que celle-ci corresponde à celle utilisée pour le certificat de votre autorité de certification.
Dans notre cas : 2048 bits.

Cliquez sur le bouton "...".

Spécifiez où et sous quel nom vous souhaitez sauvegarder votre demande de certificat.

Ensuite, cliquez sur "Terminer" pour écrire cette demande de certificat sur le disque dur.

Comme prévu, un fichier texte apparait à l'endroit souhaité.

Si vous ouvrez ce fichier texte avec le bloc-notes, vous verrez qu'il ressemble à ceci :

Plain Text

-----BEGIN NEW CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
-----END NEW CERTIFICATE REQUEST-----

Ceci est ce qu'on appelle une demande de certificat codé en base 64.

4.2. Demander un certificat depuis l'interface web de votre autorité de certification

Accédez à l'interface web de votre autorité de certification "https://ca.informatiweb.lan/certsrv" et connectez-vous avec un utilisateur autorisé à inscrire des certificats en utilisant le modèle de certificat créé précédemment.
Notez qu'en utilisant cette technique le demandeur du certificat sera l'utilisateur utilisé ici et non le compte d'ordinateur du serveur web pour lequel vous le demandez.
Néanmoins, cela ne change rien à la validité du certificat que vous obtiendrez.

Une fois authentifié sur l'interface web de votre autorité de certification, cliquez sur le lien "Demander un certificat".

Cliquez sur : demande de certificat avancée.

Ensuite, cliquez sur le long lien : Soumettre une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.

Copiez/collez la demande de certificat obtenue depuis votre gestionnaire des services Internet (IIS) dans la case "Base-64-encoded Requête de certificat ...", puis sélectionnez le modèle de certificat créé précédemment.
Dans notre cas : Serveur Web v2.

Ensuite, cliquez sur Envoyer.

Confirmez l'opération de certificat numérique en votre nom en cliquant sur Oui.

Une fois le certificat émis pour votre serveur web, vous pourrez le télécharger en cliquant sur le lien : Télécharger le certificat.
Ce qui permet de télécharger uniquement le certificat pour votre serveur web au format ".cer".

Si vous cliquez sur l'autre lien, vous auriez obtenu un fichier au format ".p7b" qui contiendrait le certificat de votre serveur web, ainsi que le certificat de l'autorité de certification qui l'a émis.

L'option "Codé DER" permet de télécharger le certificat au format Microsoft.

Un fichier "certnew.cer" est proposé en téléchargement.

Le certificat a été téléchargé.

Petit détail : si vous l'ouvrez en faisant un double clic sur celui-ci, vous verrez que la clé privée associée n'est pas présente.
En effet, dans le cas contraire, Windows vous l'aurait indiqué en bas de cette fenêtre.

Si vous allez dans l'onglet "Détails" et que vous sélectionnez le champ "Objet", vous pourrez retrouver toutes les informations spécifiées lors de la création de votre demande de certificat pour votre serveur web.
Dont, le nom de domaine de votre serveur web qui est défini en tant que nom commun (CN).

Si vous sélectionnez le champ "Utilisation avancée de la clé", vous verrez que ce certificat sera utilisé pour l'authentification du serveur.

Si vous sélectionnez le champ "Informations du modèle de certificat", vous verrez le nom de votre nouveau modèle de certificat apparaitre.

4.3. Terminer la demande de certificat depuis votre serveur web IIS

Pour que vous puissiez sécuriser votre site web grâce au certificat émis, vous devez terminer la demande de certificat en cliquant sur le lien : Terminer la demande de certificat (dans la colonne de droite).

Dans la fenêtre "Terminer la demande de certificat" qui apparait, cliquez sur le bouton "...".

Sélectionnez le certificat émis pour votre serveur web téléchargé au format ".cer" et cliquez sur Ouvrir.

Le chemin du certificat sélectionné apparait.

Indiquez ce que vous voulez comme nom convivial (par exemple : le nom de domaine pour lequel celui-ci est valide).
Pour le magasin de certificats, sélectionnez celui que vous voulez. Cela n'a aucune importance.
A vous de choisir si vous souhaitez séparer les certificats de votre serveur web IIS des autres certificats de votre ordinateur en sélectionnant le magasin de certificats "Hébergement Web" ou si vous préférez stocker tous vos certificats dans le magasin de certificats "Personnel".

Le certificat émis pour votre serveur web IIS par votre autorité de certifications apparait dans la liste des certificats de serveur.

Note : à partir de maintenant, vous pourrez retrouver ce certificat, ainsi que sa clé privée dans le magasin de certificat que vous venez de sélectionner dans l'assistant précédent.