Ce petit document est indépendant de IACA. En activant SSL (Secure Sockets Layers) l'accès à votre serveur pourra se faire par communication sécurisée. Les utilisateurs devront utiliser le protocole https et seront amenés à accepter votre certificat.
IACA peut automatiquement exiger SSL pour les répertoires web utilisés par WebDav ou pour la navigation.
Présentation
Il est possible de demander un certificat à un organisme spécialisé faisant autorisé pour la certification. Cette solution n'est pas gratuite. La solution que l'on va adopter est gratuite et consiste à utiliser notre serveur comme autorité de certification.
Voici les différentes étapes :
- Demander un certificat
- Créer le certificat de serveur.
- Indiquer à IIS d'utiliser ce certificat.
- Exiger les communications sécurisées pour certains sous sites.
- Vérifier le fonctionnement à partir d'une station.
Chaque sous site peut alors être utilisé en http ou en https. Si on souhaite que seul le protocole https puisse être utilisé, il faut imposer la connexion SSL.
Installer le service de certificat sur le serveur.
Pour cela, allez dans "Ajout/Suppression de
programmes", "Ajouter/Supprimer des composants Windows" et cochez
"Service de certificat". Le choix "Autorité racine
autonome" convient.
Remplissez en indiquant les références de votre établissement. Ce sont ces
renseignements que les utilisateurs verront et leur permettront de faire
confiance au certificat de votre serveur.
A l'étape suivante, laissez les choix par défaut pour les emplacements du stockage des données. Vous êtes ensuite informé que le serveur IIS va être redémarré. Le CD de Windows vous sera certainement demandé.
Vous avez maintenant dans les "Outils d'administration" une "Autorité de certification" et dans le "Site Web pas défaut" de IIS trois nouveaux sous sites, "CertSrv", "CertControl" et "CertEnroll".
Préparer une demande de certificat.
Dans le "Gestionnaire de services Internet (IIS)" placez-vous sur "Site Web par défaut" et allez dans les propriétés. Dans le volet "Sécurité de répertoire", cliquez sur le bouton "Certificat de serveur...".
Un assistant démarre. Sélectionnez "Créer un certificat" puis "Préparer la demande mais ne pas l'envoyer". Comme nom, mettez par exemple "Accès aux répertoires personnels", choisissez une longueur de 1024 et ne cochez pas SGC.
Pour le nom de l'organisation, vous pouvez mettre par exemple Education et pour l'unité d'organisation, le nom de votre établissement...
A la fin, vous obtenez le fichier texte c:\certreq.txt
Faire une demande de certificat.
Il s'agit d'envoyer ce fichier texte au service de certificat.
A partir d'un navigateur du serveur tapez l'adresse
http://localhost/CertSrv
Choisissez "Demander un certificat".
Dans le type de demande, sélectionnez "Demande avancée".
Sélectionnez ensuite "Soumettre une demande de certificat en utilisant un fichier crypté.."
a
Dans la fenêtre suivante, vous
devez copier le contenu du fichier c:\certreq.txt dans la zone "Demande
enregistrée". Pour cela, ouvrez avec le bloc-notes le fichier C:\certreq.txt,
sélectionnez tout le texte et faites "Copier".
Revenez à la fenêtre du navigateur, placez-vous dans la zone "Demande
enregistrée" et faites "Coller".
Il vous reste à cliquer sur le bouton "Soumettre" et à fermer la fenêtre.
Délivrer le certificat
Dans "Outils d'administrations", "Autorité de certification", entrez dans "Demandes en attentes" pour notre certificat. Vous devez y trouver un certificat en attente de traitement. Faites "Délivrer".
Le certificat passe alors dans "Certificats délivrés". Vous pouvez quitter la fenêtre "Autorité de certification".
Délivrer le certificat
Sur le serveur, avec le même navigateur que pour celui utilisé pour faire la demande de certificat utilisez à nouveau l'adresse
http://localhost/CertSrv
Choisissez "Vérifier un certificat en attente".
Lorsque vous arrivez à "Le certificat que vous avez demandé a été émis", laissez le choix "Codé DER" et cliquez sur "Télécharger le certificat de l'Autorité de certification".
Il vous est alors proposé d'enregistrer le fichier certnew.cer. Vous pouvez l'enregistré par exemple à la racine de C.
Attribuer notre certificat à notre site web par défaut
le "Gestionnaire de services Internet (IIS)" placez-vous sur "Site Web par défaut" et allez dans les propriétés. Dans le volet "Sécurité de répertoire", cliquez sur le bouton "Certificat de serveur...". Un assistant démarre.
Choisissez "Traiter la demande en attente et installer le certificat". Indiquez le fichier obtenu à l'étape précédente, soit c:\certnew.cer
L'assistant vous indique que le certificat a été installé.
Vous devez maintenant avoir les boutons "Afficher le certificat" et "Modifier".
Profiter du certificat
Le reste du paramétrage de IIS sera fait automatiquement par IACA.
Dans "Paramètres" et
"Paramètres divers" dans le volet "Web" vérifiez que la
coche est mise devant "SSL pour l'accès par WebDAV". Ceci aura pour
effet lors de la mise à jour des comptes d'exiger un canal sécurisé SSL. Sans
IACA ceci aurait pu être fait en allant sur dossier u-..., à l'aide du bouton
"Modifier" et en cochant "Exiger un canal sécurisé SSL".
En général on n'activera pas la
communication sécurisé pour l'accès aux sous sites (répertoires html).
La personne devra s'identifier pour l'accès WebDAV. Sans IACA ceci aurait pu être fait en allant, pour chaque répertoire, en utilisant le bouton "Modifier" de "Accès anonyme et contrôles d'authentification" et en supprimant la coche devant "Accès anonyme" mais en laissant la coche devant "Authentification intégrée de Windows".
Pour chaque personne à qui vous voulez permettre l'accès par WebDAV au répertoire personnel cochez "Lect. DAV" ou "Ecrit. DAV".
Remarques
- Les répertoires WebDAV correspondent aux répertoires personnels des utilisateurs, il est normal qu'ils ne soient accessibles qu'à l'utilisateur. IACA paramètre IIS pour que l'accès ne soit fait qu'avec identification (nom et mot de passe) et, si vous avez coché SSL pour l'accès WebDAV, l'accès ne sera possible que par connexion sécurisée (https) .
- Les répertoires web correspondent au répertoire html des utilisateurs. Ces répertoires correspondent au sous site de l'utilisateur et contient les pages web que l'utilisateur offre aux autres. Ces répertoires web sont accessibles par le navigateur par tout le monde en général sans nécessiter une identification.