Page 51 : Export/Import du certificat serveur vers un serveur iis 5








télécharger 169.82 Kb.
titrePage 51 : Export/Import du certificat serveur vers un serveur iis 5
page1/4
date de publication03.07.2017
taille169.82 Kb.
typeDocumentos
ar.21-bal.com > loi > Documentos
  1   2   3   4







Livre Blanc



Mise en place d’un serveur HTTPS sous Windows 2000

Pierre LANSALOT-BASOU




Mise à jour : Mai 2003
Page 51 : Export/Import du certificat serveur vers un serveur IIS 5.

Les informations recueillies dans ce document sont tirées du MSDN, d'articles techniques, d'extrait de documents du TechNet et d'Internet et d'expériences personnelles. Le but de ce livre blanc est d'exposer les fonctionnalités de base de Microsoft Certificate server.





Architecture d’un serveur Web sécurisé par HTTPS 5

Présentation générale d’une architecture de site Web HTTPS 5

Autorité de certification privée 5

Serveur Web sécurisé 5

Clients Internet Explorer 5

Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté serveur 7

Mise en place d’une autorité de certification privée (Certificat Root CA) 7

Création d’un certificat Root CA 7

Installation du certificat Root CA 7

Mise en place du certificat serveur de l’autorité de certification privée (Certificat Serveur) 7

Création d’une demande de certificat 8

Soumission d’une requête de certificat 8

Traitement et téléchargement d’un certificat 8

Installation du certificat et paramétrage du site Web SSL 8

Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté client 9

Installation du certificat Root CA 9

Installation du certificat client lié au CA 9

Renforcer la sécurisation d’un site Web par SSL : Cryptographie SSL 10

Différence entre authentification et cryptographie 10

Les différents modes de cryptographie SSL 10

Encryptage SSL 40-56 bits 10

Encryptage SSL 128 bits 10

Activer un algorithme SSL sous IIS 11

Encryption Pack 128 bits sur un serveur Web 12

sur NT4 : Encryption Service Pack 13

US 13

Le cas Français 13

Sites de téléchargement du IE High-encryption pack 14

sur Windows 2000 16

Internet Explorer : High-encryption Pack 16

Les interactions de certaines versions d’Internet Explorer sur l’encryption SSL 128 bits. 16

Sites de téléchargement du IE High-encryption pack 17

Travaux pratiques 18

Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté serveur 18

Mise en place d’une autorité de certification privée (Certificat Root CA) 18

Création d’un certificat Root CA 18

Installation du certificat Root CA 19

Mise en place du certificat serveur de l’autorité de certification privée (Certificat Serveur) 19

Création d’une demande de certificat 20

Soumission d’une requête de certificat 25

Traitement et téléchargement d’un certificat 28

Installation du certificat et paramétrage du site Web SSL 32

Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté client 39

Installation du certificat Root CA 39

Installation du certificat client lié au CA 41

Présentation de la CRL 49

Validité d’un certificat 49

Root CA 49

Date de validité du certificat serveur et client 49

Domaine 49

Vérification en ligne de la validité d’un certificat 49

Côté client IE5 49

Côté serveur IIS5 50

Quelques points importants 50

Copie de sauvegarde de la paire de clés 51

Assignation de certificats 67

par adresse IP 67

par port SSL 67

par nom de domaine 67

sur une ferme de serveurs Web (Web Farm) 67

Forum Aux Questions 70

Base TECHNET 70

Q218445 : Comment configurer un serveur de certificat pour utiliser SSL sur IIS4 ? 70

Q299525 : Comment paramétrer SSL en utilisant IIS5 et certificate Server 2.0 ? 70

Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ? 70

Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ? 70

Q290625 : Comment configurer SSL sur Windows 2000 IIS5 ? 70

Articles techniques TECHNET annexes : 70

Q295329 : Comment renouveler un certificat SSL Verisign avec une nouvelle clé dans IIS5 ? 70

Q228836 : Installer un nouveau certificat pour utiliser SSL/TLS sur IIS5 71

Q247257 : Etapes pour signer un fichier .CAB. 71

Q298559 : Comment mettre en place le Load-Balancing sur des sites IIS sécurisés avec SSL 71

Q245030 : Comment restreindre le nombre des algorithmes SSL ? 71

Q250867 : Impossible d’installer le Service Pack 6a avec une version High-encryption d’Internet Explorer. 71



  1. Architecture d’un serveur Web sécurisé par HTTPS




    1. Présentation générale d’une architecture de site Web HTTPS

La mise en place d’une architecture de serveur HTTPS met en place plusieurs acteurs majeurs :


  • L’autorité de certification privée (appelée aussi Root CA ou autorité d’accréditation)

  • Le serveur Web (opérationnel sur HTTP que l’on souhaite sécuriser par la mlise en place du protocole sécurisé HTTPS)

  • Les postes clients Internet Explorer (accédant depuis votre réseau Intranet ou depuis le réseau Internet)




      1. Autorité de certification privée

Cette autorité est considéré comme une référence morale. Son rôle est de délivrer une accréditation (ou certificat serveur) suite à la demande émise dans un formulaire (via Internet ou par courrier). Cet organisme certifie la validité , assure la reconnaissance du certificat qui sera émis par ses soins et renvoie alors un certificat en bonne et dû forme à l’expéditeur du formulaire.

De nombreux organismes privés se sont spécialisés dans la délivrance (payante) de tels certificats comme aux Etats-Unis (Verisign, Thawte) et en France (Certplus), par exemple. Pour information, un certificat 128 bits complet demandé auprès de Verisign coûte environ 800$).


      1. Serveur Web sécurisé

Le serveur Web constitue la pierre angulaire du système sécurisé. C’est sur ce serveur que va être installé le certificats Serveur de l’autorité de certification qui l’a émis.

Internet Information Server possède en standard une liste des organisme de certification les plus courants. Certificat Server de Microsoft vous permet également de créer votre propre autorité de certification privée : cela vous permet de sécuriser votre serveur Web avec un certificat émis par vos soins et présente l’avantage d’être gratuit


      1. Clients Internet Explorer

Une fois le serveur Web sécurisé par un certificat issu d’un organisme de certification, vous pouvez vous arrêter là. Mais la sécurisation ne sera pas alors complète. En effet, comme nous travaillons essentiellement dans une architecture client/serveur, la communication n’est pas sécurisée de bout en bout. Vous pouvez renforcer l’accès sécurisé en imposant aux postes client, accédant à votre serveur Web HTTPS, de présenter un certificat Client au serveur. Si ceux-ci ne le présentent pas, alors l’accès au site Web est refusé.

Nous pouvons comparer la sécurisation d’un site Web à l’analogie suivante :
Analogie : Accès à une Soirée privée


  • L’autorité de certification peut être considéré à un organisme délivrant au compte goutte des badges pour accéder à une soirée. Ce badge (de couleur rouge, avec un texte unique et identifiant précisément cette soirée) vous a été délivré par l’organisme en retour de votre précédent courrier contenant un formulaire d’inscription et votre réglement.




  • Le serveur Web peut être comparé à un vigile devant le portail de l’établissement dans lequel se déroule la soirée. Il a eu connaissance de ne laisser rentrer que les gens arborant le fameux badge rouge. En d’autres termes, le vigile a eu donc connaissance de l’existence d’un badge certifiant que l’organisme de certification (qui la embauché) autorise toute personne porteuse de ce badge d’accéder à cette soirée.




  • Le client IE, c’est vous, personne physique qui souhaitez rentrer dans cette soirée. Pour y accéder, la présentation de ce badge est indispensable. Vous le portez donc sur vous à l’entrée de l’établissement.



    1. Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté serveur


Cette analogie met en valeur les précisions suivantes :

        • le certificat doit absolument être connu du serveur pour que toute requête cliente soit examinée et acceptée ou refusée.

        • Il est ensuite placé à la discrétion du serveur de demander au client le certificat pour rentrer sur le portail. En effet, des consignes peuvent avoir données au vigile soit :

          • de ne pas demander à tout le monde le badge

          • de demander à tout le monde de montrer le badge


Cette sécurisation est efficace pour rentrer sur le site car elle correspond à une authentification de la demande du client par le serveur via un mécanisme de sécurité (certificat). Cependant, nous verrons dans un prochain chapitre que cette sécurisation de site peut être renforcée, en particulier en ce qui concerne la cryptographie des données.
Voyons maintenant les différentes étapes nécessaires : Ces étapes seront intégralement reprises et détaillées dans le chapitre Travaux pratiques


      1. Mise en place d’une autorité de certification privée (Certificat Root CA)


Cette partie n’est nécessaire d’effectuer que si vous désirez créer et installer votre propre organisme de certification privée, indépendamment de Verisign ou d’autres organismes payants.


        1. Création d’un serveur de certificat Root CA




        1. Installation du certificat Root CA



      1. Mise en place du certificat serveur de l’autorité de certification privée (Certificat Serveur)

Cette partie permet de créer la requête pour un certificat authentifié par un organisme de certification, de récupérer le certificat serveur et de l’installer sur le serveur Web. Après installation, le serveur Web sera configuré pour activer le canal SSL avec le certificat serveur.


        1. Création d’une demande de certificat




        1. Soumission d’une requête de certificat




        1. Traitement et téléchargement d’un certificat

Cette étape se décompose en deux parties distinctes :

          • Traitement de la demande, envoyée par le client à l’organisme de certification privé.

          • Téléchargement




        1. Installation du certificat et paramétrage du site Web SSL

Maintenant que nous possédons ce certificat CERTNEW.CER, il ne nous reste plus qu’à l’installer sur notre serveur Web HTTP. Il existe deux méthodes pour cela :

        • soit copiez le certificat directement sur le serveur Web, puis double-cliquer dessus pour l’installer.

        • Soit l’installer par l’assistant d’installation de certificat pour pré installer le certificat, puis le lier au site Web à sécuriser. Nous présenterons la deuxième méthode dans les travaux pratiques.



    1. Activer la sécurisation d’un site Web par SSL : Authentification par certificat côté client


Il existe plusieurs manières d’installer le certificat Root CA dans la liste des Root CA de confiance dans Internet Explorer 5 :

        • Par mail : envoyez le certificat à tous vos utilisateurs pour qu’ils puissent l’installer simplement.

        • Par téléchargement : une page de téléchargement propose un lien vers le certificat Root CA.

        • Par IEAK : dans le cadre de déploiement massif de nouvelles versions d’Internet Explorer, vous pouvez directement intégrer le certificat au sein des autorités de confiance dans le paquetage IEAK.


De toutes les manières, le certificat Root CA doit être installé sur les postes client pour indiquer à Internet Explorer de faire confiance au fait que le certificat de votre site n’est pas le certificat que vous venez juste de créer, mais plutôt le certificat Root CA, créé lorsque Certificate Serveur a été installé.


      1. Installation du certificat Root CA


Pour ce faire, il nous faut télécharger le certificat depuis notre poste client :


      1. Installation du certificat client lié au CA

Jusqu’à présent, nous n’avions pas besoin de présenter sur nos postes client un certificat client. Cependant, dans le cas présenté ci-dessous où vous configurez votre serveur Web HTTPS pour exiger la présentation d’un certificat client, il est nécessaire d’installer un certificat client.
Lorsqu’on tente maintenant d’accéder au site HTTPS, le client IE présente une liste des certificat client correspondant à l’autorité de certification privé qui a configuré le serveur Web en HTTPS. C’est à l’utilisateur alors de choisir de présenter le certificat client au serveur et de valider son choix.


    1. Renforcer la sécurisation d’un site Web par SSL : Cryptographie SSL




      1. Différence entre authentification et cryptographie

Il est nécessaire de bien faire la distinction entre authentification SSL et cryptographie des données SSL.

Si nous revenons à notre exemple de vigile à l’entrée d’une soirée, l’authentification correspond à l’accord du vigile de nous laisser rentrer dans le lieu de la soirée après lui avoir montré notre badge rouge. Mais une fois entré, il nous faut encore pouvoir parler et se faire comprendre lorsque nous entamerons une discussion avec les autres invités. En effet, la langue utilisée (ou cryptage) dans cette soirée peut être une barrière pour communiquer et avoir les informations souhaitées. Il est donc nécessaire de pouvoir se mettre au même niveau de cryptographie côté serveur ET client afin de pouvoir échanger des informations. Il reste donc à se mettre d’accord sur le mode de cryptographie SSL à utiliser afin de se comprendre.



      1. Les différents modes de cryptographie SSL



  1   2   3   4

similaire:

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 icon1, Rue Raoul Dautry 20 ans 07/02/1994
«Squid», serveur dhcp dns avec agent relai, serveur Web iis, serveur vpn, serveur samba, vlan, ftp (Filezilla)

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconLivrable a : Spécification des Services Web d’Import et d’Export de Dossiers

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconCréation du serveur sos «entrepots»
0 0» sur «Allowed Host» dans cet exemple tous les serveur sos sont installés en local, nous laisserons donc «localhost»

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconInstallation Zend Server Community Edition (CE)
«start» par «restart» permet de redémarrer le serveur et «stop» permet de l’arrêter, ce qui est utile pour appliquer les changements...

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconPoste : Chef de Projet (moa) Etude et mise en œuvre de solutions...

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconTout joueur du serveur doit avoir pris connaissance du présent document....

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconRésumé Ce tutoriel vous permettra d’installer un serveur fog sur...
«y» pour rentrer une adresse ip de routeur, normalement l’ip est déjà connue par le serveur, sinon renseignez la

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconCompte-rendu de la réunion du clusir du 9/10/01
«la sauvegarde et le stockage de données d’une machine cliente vers un serveur distant à travers des liens de communication». C’est...

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconAdresse serveur : minefield fr

Page 51 : Export/Import du certificat serveur vers un serveur iis 5 iconAdresse du serveur 2012 : 10 1








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com