Serveur en HTTPS
Activer SSL sur Windows 2008
 

Ce petit document est indépendant de IACA. En activant SSL (Secure Sockets Layers) l'accès à votre serveur pourra se faire par communication sécurisée. Les utilisateurs devront utiliser le protocole https et seront amenés à accepter votre certificat.

IACA peut automatiquement exiger SSL pour les répertoires web utilisés par WebDav ou pour la navigation.


Présentation

Il est possible de demander un certificat à un organisme spécialisé faisant autorisé pour la certification. Cette solution n'est pas gratuite. La solution que l'on va adopter est gratuite et consiste à utiliser notre serveur pour créer et certifier notre certificat.

Chaque sous site pourra être utilisé en http ou en https. Si on souhaite que seul le protocole https puisse être utilisé, il faut imposer la connexion SSL.

Si vous n'avez pas encore choisi le type d'authentification lors de l'installation de l'installation de IIS, vous pouvez le faire maintenant. Pour cela allez dans "Gestionnaire de serveur", dans la partie gauche, ouvrez "Rôles", et placez-vous sur "Serveur Web (IIS)". Dans la partie droite cliquez sur "Ajouter des services de rôle" et dans la partie Sécurité cochez par exemple "Authentification Windows".

Créer un certificat

Installer le service de certificat sur le serveur

Dans "Gestionnaire de serveur", faites "Ajouter des rôles".

Ajouter le rôle "Service de certificats Active Directory".

L'inscription de l'autorité de certification via le Web serait utile si vous voulez passer par une entreprise externe pour valider votre certificat.

Les choix suivants pourront être "Entreprise", "Autorité de certification racine" puis "Créer une nouvelle clé privée".

Le nom proposé dans notre cas est domaine-SERVA-CA

A la fin de l'installation vous devriez obtenir :

Pour information, vous devez maintenant avoir dans les "Outils d'administration" la ligne "Autorité de certification". La présence de ce service est nécessaire mais dans le cas de notre certificat de domaine, nous n'aurons pas besoin d'aller dans "Autorité de certification" pour traiter le certificat.

Choix du nom du certificat.

Afin que le certificat soit considéré comme valide par les stations, il doit correspondre au chemin que les personnes utiliseront dans leur navigateur.

Supposons que les chemins DNS pour accéder à votre serveur soient :

De l'intérieur serva.domaine.priv (on pourrait également utiliser serva).
De l'extérieur www.lycee-hugo01.net

Dupond pour accéder à son répertoire utilisera donc les chemins suivants :

De l'intérieur https://serva.domaine.priv/u-dupond
De l'extérieur https://www.lycee-hugo01.net/u-dupond

Notre certificat ne pouvant contenir qu'une adresse, ce sera l'adresse www.lycee-hugo01.net que nous allons indiquer. Ceci permettra au certificat d'être considéré comme valide pour les appels de l'extérieur.

Reste le problème des appels de l'intérieur. L'astuce consiste à ajouter dans le serveur DNS une zone de recherche directe (qui ne sera vue que par les ordinateurs situés à l'intérieur de l'établissement). On nommera cette zone lycee-hugo01.net et on y ajoutera un hôte que l'on nommera www. On fera correspondre cet hôte à l'adresse IP interne de notre serveur.

Résumons nous. Dans tous les cas Dupond utilisera l'adresse https://www.lycee-hugo01.net/u-dupond
Si l'appel est fait de l'extérieur, ce sera la résolution de nom habituelle sur Internet qui permettra d'accéder au serveur.
Si l'appel est fait de l'intérieur, le serveur DNS donnera l'adresse IP interne du serveur.
Le certificat sera donc considéré comme valide puisque l'appel se fait dans tous les cas avec le même chemin (www.lycee-hugo01.net).

Création du certificat.

Allez dans "Outils d'administration" et "Gestionnaire des services Internet (IIS)". Placez-vous sur le nom de votre serveur et choisissez "Certificats de serveur".

Choisissez de créer un certificat de domaine.

Il est alors important de mettre le nom commun qui convient. Dans notre exemple nous devons mettre www.lycee-hugo01.net

Les autres informations sont libres mais plus vous serez précis plus les personnes regardant votre certificat seront rassurés sur sa provenance.

L'autorité de certification s'obtient en utilisant le bouton "Sélectionner" et correspond à notre serveur.
Le nom convivial est libre.

Cliquez sur Terminer. Le certificat est maintenant créé.

Liaison du certificat à notre site.

Il reste à indiquer à IIS d'utiliser le certificat pour le protocole https.

Dans le "Gestionnaire des services Internet (IIS)" placez-vous sur "Default Web Sites" et cliquez sur "Liaison..."

Utilisez le bouton "Ajouter", choisissez "https" et sélectionnez notre certificat dans la liste (c'est le nom convivial qui apparaît ici).

Validez. Vous pouvez quitter le "Gestionnaire des services Internet (IIS)".

Créer le fichier certificat pour les utilisateurs

Principe

Pour faciliter l'installation du certificat sur les stations, nous allons créer un fichier certificat sous forme de fichier.

Nous donnerons ce fichiers aux personnes qui souhaitent accéder au serveur en https.

Les personnes auront à installer le certificat sur leur ordinateur. Elles pourront ensuite accéder en https aux sites Web ou à leur dossier personnel par WebDAV.

Création du fichier certificat à donner

Ouvrez le "Gestionnaire des services Internet (IIS)", placez-vous à gauche sur le nom de votre serveur, et cliquez sur "Certificats de serveur".

Sélectionnez le certificat correspondant à l'autorité ce certification comme indiqué sur la copie d'écran et cliquez sur "Afficher..".

Dans le volet "Détails", utilisez le bouton "Copier dans un fichier...".

Un assistant démarre. Laissez le choix par défaut, c'est à dire "Ne pas exporter la clé privée", "Codage binaire DER" puis indiquez le nom du fichier à créer. Ce fichier aura pour extension .cer. Par exemple :

Ce fichier pourra être donné sur une clé USB, ou encore placé en téléchargement sur le site de l'établissement...

Donner ce fichier

Donnez ce fichier et donner la petite documentation que vous trouverez ici : Installation du certificat sur mon ordinateur.