Sécuriser un serveur web IIS sous Windows Server 2016

5. Sécuriser un site web sous IIS

Maintenant que vous avez obtenu un certificat pour votre serveur web (que vous l'ayez demandé via la console mmc de votre serveur ou via l'interface web de votre autorité de certification), vous pouvez vérifier que IIS le voit en allant dans la section "Certificats de serveur" du gestionnaire de services Internet (IIS).

Comme prévu, votre certificat (visible aussi depuis la console mmc de votre serveur) apparait dans la liste des certificats de serveur.

Pour sécuriser un site web, sélectionnez-le (dans notre cas : Default Web Site), puis cliquez sur le lien "Liaison" (dans la colonne de droite).

Dans la fenêtre "Liaisons de sites" qui apparait, cliquez sur : Ajouter.

Dans la fenêtre "Ajouter la liaison de site" qui apparait, sélectionnez "Type : https".

Le port change automatiquement en 443.

Sélectionnez votre certificat SSL dans la liste.

Une fois le certificat SSL souhaité sélectionné, vous pouvez l'afficher pour vérifier qu'il s'agit du bon certificat en cliquant sur le bouton : Afficher.

Le certificat sélectionné apparait.

Cliquez sur OK pour valider l'ajout de cette nouvelle liaison HTTPS avec le certificat SSL souhaité.

La nouvelle liaison HTTPS (écoutant sur le port TCP 443) apparait dans la liste des liaisons de sites de votre serveur web IIS.
Cliquez sur Fermer.

Ensuite, cliquez sur le lien "Redémarrer" (dans la colonne de droite).

Maintenant, tentez d'accéder à la version sécurisée (HTTPS) de votre site web.
Comme vous pouvez le voir, la connexion à ce site web est sécurisée et votre autorité de certification a identifié ce site comme suit : [nom de domaine de votre serveur web ou site web].

Note : pour afficher ce popup, cliquez sur le petit cadenas présent dans la barre d'adresse de votre navigateur web.

Si vous cliquez sur le lien "Afficher les certificats" du popup affiché par Internet Explorer, vous pourrez voir le certificat utilisé pour sécuriser ce site web.
Par contre, la clé privée n'est pas disponible dans ce cas-ci étant donné qu'elle doit rester secrète sur le serveur concerné.

Par contre, n'importe quel visiteur pourra voir la clé publique de ce certificat.

6. Problèmes courants

6.1. Nom incorrect dans l'adresse du site web sécurisé (en HTTPS)

Lorsque vous demandez un certificat, vous devez indiquer le nom de domaine du site web souhaité en tant que nom commun.
Alternativement, vous pouvez aussi inclure le sous-domaine "www" du domaine souhaité en tant que nom DNS pour qu'un même certificat soit valide pour le domaine racine, ainsi que pour son sous-domaine "www" (par exemple).

Si vous tentez d'accéder à la version sécurisée (HTTPS) de votre site web via son adresse IP ou via un autre nom que celui indiqué dans le certificat utilisé pour sécuriser ce site, votre navigateur web bloquera l'accès à ce site web.

Dans le cas d'Internet Explorer, vous verrez cette erreur s'afficher :

Plain Text

Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web.

Dans ce cas, Internet Explorer vous permet d'accéder tout de même au site web souhaité en ignorant cette erreur.
Néanmoins, cette erreur pourrait aussi se produire si vous avez tenté de vous connecter à un mauvais serveur ou un serveur compromis par un pirate.

Comme prévu, le site web s'affiche, mais Internet Explorer continue de vous signaler le problème de certificat dans la barre d'adresse.

Pour régler le problème, accédez à votre site web sécurisé (en HTTPS) en utilisant le nom de domaine que vous avez indiqué dans votre certificat SSL.
Ainsi, l'erreur disparaitra et vous pourrez accéder sans problème à ce site web.

6.2. Le certificat n'a pas été émis par une autorité de certification approuvée

Par défaut, lorsque vous créez une autorité de certification d'entreprise sous Windows Server, tous les serveurs et ordinateurs membres de votre domaine Active Directory reçoivent automatiquement le certificat public de celle-ci.
Le certificat de votre autorité de certification devrait donc se trouver automatiquement dans le magasin de certificats "Autorités de certification racines de confiance" de votre serveur ou ordinateur.

Si ce n'est pas le cas, Internet Explorer affichera cette erreur :

Le certificat de sécurité présenté par ce site Web n'a pas été émis par une autorité de certification approuvée.

Dans ce cas, vous pourrez ignorer l'erreur affichée, mais Internet Explorer continuera de vous prévenir qu'il y a un problème avec le certificat utilisé en affichant notamment la barre d'adresse en rouge.

Si vous avez installé récemment votre autorité de certification, il est possible que son certificat ne soit pas encore arrivé sur votre serveur ou ordinateur.
Dans ce cas, il suffira de forcer la mise à jour de la stratégie via un "gpupdate /force" pour que le certificat de votre autorité de certification soit automatiquement téléchargé et importé dans le magasin de certificats "Autorités de certification racines de confiance" de votre serveur ou ordinateur.

Pour le vérifier, vous pouvez aller dans les options Internet d'Internet Explorer.

Ensuite, allez dans l'onglet "Contenu" et cliquez sur : Certificats.

Dans la fenêtre "Certificats" qui apparait, allez dans l'onglet "Autorités de certification racines de confiance".
Si votre autorité de certification fait partie des autorités de certification racines de confiance de votre serveur ou ordinateur, vous la verrez apparaitre ici.

Notez que ce qui est affiché par Internet Explorer correspond exactement aux mêmes magasins de certificats présents sur votre serveur ou ordinateur.
Pour les voir, vous pouvez lancer une console "mmc" et ajoutez le composant "Certificats" pour l'ordinateur local.
Ensuite, allez dans le magasin de certificats "Autorités de certification racines de confiance".

Si votre serveur ou ordinateur fait déjà confiance aux certificats de votre autorité de certification, vous trouverez son certificat dans la liste.
Sinon, exportez le certificat de votre autorité de certification ou téléchargez-le depuis son interface web (si celle-ci est installée dans votre cas), puis importez-le dans ce magasin de certificats.

Une fois que le certificat de votre autorité de certification racine d'entreprise se trouvera dans le magasin de certificats "Autorités de certification racines de confiance" de votre serveur ou ordinateur, fermez votre navigateur web et ouvrez-le à nouveau.
Ensuite, tentez d'accéder à nouveau à la version sécurisée (en HTTPS) de votre site web et vous verrez que cette erreur n'apparaitra plus.