Hébergement

IIS

IIS7/IIS8 - Installer ou renouveler un certificat SSL

1. Créer une demande de certificat

Pour ajouter un certificat SSL à votre site Web avec IIS, il faut passer par quatre étapes. Premièrement « 1. Créer une demande de certificat » dans IIS. Ensuite, faire la « 2. Demande officielle du certificat » en achetant votre certificat chez votre registraire préféré qui en fera la demande officielle chez l’émetteur de certificat communément appelle l’autorité de certification. Puis « 3. Terminer la demande de certificat » dans IIS et finalement « 4. Ajouter une liaison avec le certificat » au site Web, toujours dans IIS.

1. Ouvrez IIS et double-cliquez sur le pictogramme « Certificats de Serveur » (Server Certificates) ;

2. Cliquez dans le menu de gauche sur « Créer une demande de certificat » ;

3. Ensuite déroulez l’assistant. Écrivez sans utilisez d’accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \: (Note: personnellement j’utilise des accents dans le nom de l’organisation, la ville et le département sans problème...)

   • Entrer un nom commun, c’est à dire le nom de domaine (avec www)* ;
   • Entrer un le nom de l’organisation ;
   • Entrer « l’unité d’organisation ». Par exemple « TI » pour technologie de l’information ;
   • Entrer ensuite le nom de la ville, du département/région et sélectionnez le pays ;
   • Cliquer suivant.
     
     
     * En principe et sans « wildcard », un certificat est valide pour un seul nom domaine. C’est-à-dire avec OU sans le sous-domaine « www ». Mais dépendant de votre fournisseur, un nom commun (common name) qui contient le « www » obtiendra un certificat valide tant pour « www.domaine.com » que pour « domaine.com » pour le même prix. C’est le cas de mon fournisseur Globalsign.
     * Si vous achetez un certificat SSL avec « wildcard », c’est-à-dire incluant les sous-domaines, vous devez entrer un astérisque (*) au lieu du « www » : « *.domaine.com ».

     

4. Choisissez la longueur (2048 minimum) et le magasin de stockage ;

5. Choisir ensuite un emplacement et un nom du fichier de demande de certificat à créer (ex: certificat.csr.). Noter que vous pouvez utiliser une extension .txt sans problème, ce n’est qu’un fichier pour récupérer le code de la demande de certificat. Cliquez ensuite sur « Terminer » (Finish) ;

   

   

6. Ensuite, ouvrez le fichier généré qui contient la demande de certificat et copier tout son contenu. Incluant -----BEGIN NEW CERTIFICATE REQUEST----- et -----END NEW CERTIFICATE REQUEST----- ;

   

7. Il ne reste plus qu’à compléter l’achat de votre certificat SSL chez votre registraire en copiant le contenu de la demande. Puis en entrant une adresse de courriel valide pour recevoir le courriels pour confirmer la demande. Il est très important d’utiliser une adresse de courriel du même domaine que la demande de certificat. La plupart des fournisseurs demande de choisir entre les adresses : admin@[domaine.com], info@[domaine.com], postmaster@[domaine.com], webmaster@[domaine.com]...

   

   

   
   
   
   Il ne faut surtout pas reconfigurer le SSL ou créer une nouvelle demande de certificat entre le moment où vous générez un fichier CSR et le moment où vous installez le certificat résultant. Si vous le faites, le logiciel risque de perdre votre demande et refuser d’installer le certificat ultérieurement.

2. Demande officielle du certificat

1. Une fois la demande complétée, l’émetteur de certificat (autorité de certification) enverra un courriel, à l’adresse que vous avez spécifiée au point 7, comportant un lien ou un bouton que vous devez cliquer pour confirmer la demande ;

2. Une fois fait, tout dépend de votre registraire, les meilleurs ajoute le certificat dans votre compte qu’il suffit de copier incluant -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----. Sinon, c’est l’émetteur du certificat qui vous enverra un courriel qui contient le certificat SSL à copier, c’est-à-dire à l’adresse courriel du demandeur (celle de l’acheteur) ;

   
   

   

   

3. Coller le certificat, incluant -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, dans un fichier texte et donner lui l’extension .cer (.txt fonctionne tout aussi bien).

3. Terminer la demande de certificat

1. Ouvrez IIS et double-cliquez sur le pictogramme « Certificats de Serveur » (Server Certificates) ;

2. Cliquez dans le menu de gauche sur « Terminer une demande de certificat » ;

3. Dans la fenêtre qui ouvre :

   • Sélectionner le fichier .cer créé précédemment (point 3) ;
   • Entrer un nom conviviale, généralement le nom de domaine ;
   • Puis sélectionner le magasin « Personnel » ;
   • Cliquer « OK ».

4. Ajouter une liaison avec le certificat

1. Ouvrez IIS et sélectionner le site Web (dans mon exemple certificat.com) ;

2. Cliquez dans le menu de droite sur « Liaisons » (binding) ;

3. Cliquez sur le bouton « Ajouter » ;

   • Sélectionner le type https ;
   • En principe, vous devez utiliser le port 443 par défaut ;
   • Dans adresse IP, sélectionner « Toutes non attribuées » ou l’adresse IP du site si il utilise une adresse particulière.
     
     NOTE : IIS 7 (et moins) ne permet pas d’avoir plusieurs domaines avec un certificat sous un même IP. Dans ce cas vous devez utiliser un IP pour chaque domaine. Depuis la version 8, il n’y a aucun problème, tous les certificats peuvent utiliser le même IP. Mais il faut impérativement cocher (dans le point suivant) « Exiger l’indication de nom du serveur » dès que vous avez plus d’un certificat sous le même IP ;
   • Cocher « Exiger l’indication de nom du serveur » si vous lier plusieurs certificat avec des domaines utilisant le même IP (sous IIS 8 et plus) ;
   • Il ne reste plus qu’à sélectionner le bon certificat ;

4. Cliquer « OK » pour terminer la liaison.

Conclusion

Voilà c’est tout. Un certificat est valide pour un an ou plus selon votre achat et les prix varient beaucoup selon le type de certificat. D’une trentaine à des centaines de dollars. Il y a des certificats de base sans le nom de l’entreprise et plus dispendieux, des certificats avec le nom de l’entreprise propriétaire. Ce dernier affiche généralement un cadenas vert. Un certificat mal configuré, qui n’est plus valide, carrément inexistant ou installé sous un mauvais domaine par exemple, provoquera une erreur et la page ne s’affichera pas à moins que l’internaute n’autorise en acceptant les risques ! Noter que dès qu’il y a un élément de la page qui ne provient pas d’une adresse sécurisée (https), le navigateur indiquera que la page n’est pas sécurisée.

Il existe enfin des certificats pour un seul domaine (dans certains cas, il faut deux certificats, un certificat avec www et un second sans www mais les meilleurs offrent les deux dans un seul certificat). Il y a aussi des certificats pour un domaine et tous les sous-domaines, par exemple certificat.com et sousdomaine.certificat.com. Et enfin, il existe des certificats beaucoup plus chers pour plusieurs domaines.

Enfin, les certificats sous IIS sont plutôt dispendieux comparativement aux serveurs qui roulent sous Apache par exemple. Ce dernier a plusieurs offres gratuites, on trouve aussi des serveurs qui roulent Apache qui offrent par défaut les certificats pour tous les sites hébergés...

Il existe depuis 2015 une solution entièrement gratuite pour IIS, Let’s Encrypt. Je n’ai jamais testé cette solution à ce jour, mais vous pouvez consulter le tutoriel suivant pour plus d’information « Installer un certificat SSL gratuit dans IIS grâce à Let’s Encrypt »....

Ressources

• How to Install an SSL Certificate in IIS 10