Création de certificats SSL

Certificat pour une utilisation sur un réseau local uniquement

Pour un réseau local, une autorité de certification (CA) devra être utilisée afin de générer d'autres certificats SSL pour les différents serveurs web du client. Pour créer une autorité de certification et générer les différents certificats, vous pouvez utiliser un outil comme XCA (X - Certificate and Key management).

Téléchargez et installez XCA, puis lancez l'application.

XCA

Créez d'abord une base de données via le menu Fichier / Nouvelle base de données. Saisissez un mot de passe fort pour chiffrer les clés dans la base de données. Cette base de données et le mot de passe devront être remis au client afin de pouvoir renouveler les certificats des serveurs.

Création de l'autorité de certification

Dans l'onglet Certificats, cliquez sur le bouton Nouveau certificat. Sur le premier onglet Source, choisissez le modèle [default] CA et cliquez sur le bouton Appliquer tout.

Dans l'onglet Sujet, renseignez un nom interne et le commonName (NomDeLaVille.LAN par exemple), puis cliquez sur le bouton Générer une nouvelle clé dans la section Clé privée. Dans la fenêtre qui s'ouvre, cliquez sur le bouton Créer.

CA_new_key

Cliquez sur OK pour terminer la création de l'autorité de certification.

Vous pourrez ensuite exporter le certificat correspondant à cette autorité de certification.

CA_export

Création d'un certificat pour un serveur web

Dans l'onglet Certificats, sélectionnez l'autorité de certification, puis cliquez sur le bouton Nouveau certificat.

Dans la fenêtre qui s'ouvre, sur l'onglet Source, vérifiez que le certificat correspondant à l'autorité de certification est bien sélectionné dans la partie Signer/Utiliser ce certificat pour signer.

Choisissez en dessous le modèle TLS_server dans la liste déroulante Modèle pour le nouveau certificat, puis cliquez sur le bouton Appliquer tout.

server

Dans l'onglet Sujet, indiquez le nom DNS du serveur dans Nom interne et commonName, puis cliquez sur le bouton Générer une nouvelle clé dans la section Clé privée. Dans la fenêtre qui s'ouvre, cliquez sur le bouton Créer. Cliquez sur OK pour terminer la création du certificat.

server_new_key

Ce certificat pour le serveur web se trouvera sous l'autorité de certification.

certificates

Vous pouvez le sélectionner puis cliquer sur Exporter. Choisissez le format d'exportation PKCS #12 (*.pfx), puis cliquez sur OK pour exporter le certificat et sa clé privée. Une fenêtre s'affichera pour vous demander d'indiquer un mot de passe pour chiffrer le fichier.

Installation du certificat sur le serveur web

Installez d'abord sur le serveur web le certificat correspondant à l'autorité de certification (cf. section suivante).

Ensuite, il faut importer le certificat créé pour le serveur dans le magasin personnel de l'ordinateur. Vous pouvez soit double-cliquez sur le fichier .pfx et suivre les indications, soit exécuter le programme certlm.msc sur le serveur. Cliquez alors avec le bouton droit sur Personnel / Certificats, puis sélectionnez Toutes les tâches et Importer.

server_import

Cliquez sur Suivant, sélectionnez le fichier .pfx correspondant au certificat du serveur web, puis cliquez sur Suivant. Indiquez le mot de passe saisi lors de l'exportation du certificat puis cliquez sur Suivant, à nouveau Suivant et Terminer. Un message L'importation a réussi doit s'afficher.

Une fois le certificat importé, ouvrez le gestionnaire IIS, sélectionnez le nœud du site avec le bouton droit et choisissez Modifier les liaisons dans le menu contextuel :

Item de menu Modifier les liaisons

Modifier ou ajouter la liaison du type https, et choisissez le certificat SSL dans la liste :

Ajouter la liaison de site

Cliquez sur le bouton OK pour valider.

Installation du certificat de l'autorité de certification sur les postes clients

Le certificat de l'autorité de certification devra être installé dans les autorités de certification racines de confiance sur tous les postes utilisant Atal V5 et e-Atal V6. Sa durée de validité est de 10 ans par défaut.

Sur le poste client, exécutez le programme certmgr.msc pour installer le certificat pour l'utilisateur actuel ou certlm.msc pour l'installer pour l'ordinateur local. Cliquez avec le bouton droit sur Autorités de certification racines de confiance / Certificats, puis sélectionnez Toutes les tâches et Importer.

CA_import

Cliquez sur Suivant, sélectionnez votre fichier .crt, puis cliquez sur Suivant, encore Suivant, et Terminer. Un message L'importation a réussi doit s'afficher.

Tous les certificats générés par cette autorité de certification seront alors reconnus pour l'utilisateur actuel ou l'ordinateur local.

Certificat pour une utilisation via Internet

Si le serveur est exposé sur Internet avec un nom de domaine en utilisant les ports standards 80 (http) et 443 (https), on peut créer un certificat via une autorité de certification reconnue.

Pour faciliter la gestion du renouvellement des certificats, on peut par exemple utiliser l'outil win-acme qui génèrera des certificats via l'autorité Let's Ecrypt.

Dans le gestionnaire IIS, éditez les liaisons pour votre site pour indiquer le nom de domaine :

Éditez la liaison de site

Téléchargez l'outil win-acme, décompressez-le dans un dossier sur le serveur (vous pouvez ensuite déplacer les fichiers dans C:\Program Files\win-acme). Exécutez le programme wacs.exe en tant qu'administrateur puis suivez les instructions (choisissez N pour créer le certificat, puis le numéro du site web, et toutes liaisons A, puis validez y).

Si le site est bien accessible depuis l'extérieur via la liaison http, une nouvelle liaison https sur le port 443 sera créée avec le nouveau certificat. Il y aura également une nouvelle tâche planifiée pour renouveler automatiquement le certificat avant expiration.