Retour page précédente

imprimer cette page

Serveur en HTTPS
Activer SSL sur Windows 2008
 

Ce petit document est indépendant de IACA. En activant SSL (Secure Sockets Layers) l'accès à votre serveur pourra se faire par communication sécurisée. Les utilisateurs devront utiliser le protocole https et seront amenés à accepter votre certificat.

IACA peut automatiquement exiger SSL pour les répertoires web utilisés par WebDav ou pour la navigation.


Présentation

Il est possible de demander un certificat à un organisme spécialisé faisant autorisé pour la certification. Cette solution n'est pas gratuite. La solution que l'on va adopter est gratuite et consiste à utiliser notre serveur pour créer et certifier notre certificat.

Chaque sous site pourra être utilisé en http ou en https. Si on souhaite que seul le protocole https puisse être utilisé, il faut imposer la connexion SSL.

Ajouter l'authentification Windows

Si vous ne l'avez pas fait lors de l'installation de l'installation de IIS, vous pouvez le faire maintenant. Pour cela allez dans "Gestionnaire de serveur", dans la partie gauche, ouvrez "Rôles", et placez-vous sur "Serveur Web (IIS)". Dans la partie droite cliquez sur "Ajouter des services de rôle" et dans la partie Sécurité cochez "Authentification Windows".

Installer le service de certificat sur le serveur.

Dans "Gestionnaire de serveur", faites "Ajouter des rôles".

Ajouter le rôle "Service de certificats Active Directory".

L'inscription de l'autorité de certification via le Web serait utile si vous voulez passer par une entreprise externe pour valider votre certificat.

Les choix suivants pourront être "Entreprise", "Autorité de certification racine" puis "Créer une nouvelle clé privée".

Le nom proposé dans notre cas est domaine-SERVA-CA

A la fin de l'installation vous devriez obtenir :

Pour information, vous devez maintenant avoir dans les "Outils d'administration" la ligne "Autorité de certification". La présence de ce service est nécessaire mais dans le cas de notre certificat de domaine, nous n'aurons pas besoin d'aller dans "Autorité de certification" pour traiter le certificat.

Choix du nom du certificat.

Afin que le certificat soit considéré comme valide par les stations, il doit correspondre au chemin que les personnes utiliseront dans leur navigateur.

Supposons que les chemins DNS pour accéder à votre serveur soient :

De l'intérieur serva.domaine.priv (on pourrait également utiliser serva).
De l'extérieur www.lycee-hugo01.net

Dupond pour accéder à son répertoire utilisera donc les chemins suivants :

De l'intérieur https://serva.domaine.priv/u-dupond
De l'extérieur https://www.lycee-hugo01.net/u-dupond

Notre certificat ne pouvant contenir qu'une adresse, ce sera l'adresse www.lycee-hugo01.net que nous allons indiquer. Ceci permettra au certificat d'être considéré comme valide pour les appels de l'extérieur.

Reste le problème des appels de l'intérieur. L'astuce consiste à ajouter dans le serveur DNS une zone de recherche directe (qui ne sera vue que par les ordinateurs situés à l'intérieur de l'établissement). On nommera cette zone lycee-hugo01.net et on y ajoutera un hôte que l'on nommera www. On fera correspondre cet hôte à l'adresse IP interne de notre serveur.

Résumons nous. Dans tous les cas Dupond utilisera l'adresse https://www.lycee-hugo01.net/u-dupond
Si l'appel est fait de l'extérieur, ce sera la résolution de nom habituelle sur Internet qui permettra d'accéder au serveur.
Si l'appel est fait de l'intérieur, le serveur DNS donnera l'adresse IP interne du serveur.
Le certificat sera donc considéré comme valide puisque l'appel se fait dans tous les cas avec le même chemin (www.lycee-hugo01.net).

Création du certificat.

Allez dans "Outils d'administration" et "Gestionnaire des services Internet (IIS)". Placez-vous sur le nom de votre serveur et choisissez "Certificats de serveur".

Choisissez de créer un certificat de domaine.

Il est alors important de mettre le nom commun qui convient. Dans notre exemple nous devons mettre www.lycee-hugo01.net

Les autres informations sont libres mais plus vous serez précis plus les personnes regardant votre certificat seront rassurés sur sa provenance.

L'autorité de certification s'obtient en utilisant le bouton "Sélectionner" et correspond à notre serveur.
Le nom convivial est libre.

Cliquez sur Terminer. Le certificat est maintenant créé.

Liaison du certificat à notre site.

Il reste à indiquer à IIS d'utiliser le certificat pour le protocole https.

Dans le "Gestionnaire des services Internet (IIS)" placez-vous sur "Default Web Sites" et cliquez sur "Liaison..."

Utilisez le bouton "Ajouter", choisissez "https" et sélectionnez notre certificat dans la liste (c'est le nom convivial qui apparaît ici).

Validez. Vous pouvez quitter le "Gestionnaire des services Internet (IIS)".

Exporter le certificat pour les stations Vista.

Il semblerait que l'installation du certificat sur les stations Vista ne puisse pas se faire aussi facilement qu'avec XP. Une solution consiste à exporter le certificat dans un fichier et à donner ce fichier aux personnes voulant accéder à leur répertoire personnel à partir de stations Vista.

Voici une méthode possible pour exporter le certificat.

Ouvrez le "Gestionnaire des services Internet (IIS)", placez-vous à gauche sur le nom de votre serveur, et cliquez sur "Certificats de serveur".

Sélectionnez le certificat correspondant à l'autorité ce certification comme indiqué sur la copie d'écran et cliquez sur "Afficher..".

Dans le volet "Détails", utilisez le bouton "Copier dans un fichier...".

Un assistant démarre. Laissez le choix par défaut, c'est à dire "Ne pas exporter la clé privée", "Codage binaire DER" puis indiquez le nom du fichier à créer. Ce fichier aura pour extension .cer. Par exemple :

Ce fichier pourra être donné sur une clé USB, ou encore placé en téléchargement sur le site de l'établissement...

Profiter du certificat

Le reste du paramétrage de IIS sera fait dans l'environnement IACA.

Dans "Paramètres" et "Paramètres divers" dans le volet "Web" vérifiez que la coche est mise devant "SSL pour l'accès par WebDAV". Ceci aura pour effet lors de la mise à jour des comptes d'exiger un canal sécurisé SSL. Sans IACA ceci aurait pu être fait en allant dans "Paramètres SSL" pour chaque répertoire.
En général on n'activera pas la communication sécurisé pour l'accès aux sous sites (répertoires html).

La personne devra s'identifier pour l'accès WebDAV. Sans IACA ceci aurait pu être fait en allant, pour chaque répertoire, dans "Authentification" et en n'activant que "Authentification Windows".

Pour chaque personne à qui vous voulez permettre l'accès par WebDAV au répertoire personnel cochez "Lect. DAV" ou "Ecrit. DAV".

Remarques

- Les répertoires WebDAV correspondent aux répertoires personnels des utilisateurs, il est normal qu'ils ne soient accessibles qu'à l'utilisateur. IACA paramètre IIS pour que l'accès ne soit fait qu'avec identification (nom et mot de passe) et, si vous avez coché SSL pour l'accès WebDAV, l'accès ne sera possible que par connexion sécurisée (https) .

- Les répertoires web correspondent au répertoire html des utilisateurs. Ces répertoires correspondent au sous site de l'utilisateur et contient les pages web que l'utilisateur offre aux autres. Ces répertoires web sont accessibles par le navigateur par tout le monde en général sans nécessiter une identification.