a Installation d'une autorité de certification

Pour commencer, il faut installer une autorité de certification. Cette autorité va permettre de générer des certificats pour utiliser le protocole HTTPS via SSL (Secure Socket Layer). Un certificat permet de garantir que l'émetteur est bien celui qu'il prétend être. Pour installer une autorité de certification, il faut commencer par aller dans « Server Manager » puis d'ajouter un rôle.

Ensuite, l'assistant se lance et on clique sur « Suivant ». Il faut choisir « Active Directory Certificate Service ».

On va alors commencer à configurer notre autorité en fonction de nos besoins et de notre réseau. L'affichage suivant nous décrit le service de certificats :

.Une fois que l'on a cliqué sur suivant, on choisit les rôles associés aux certificats que l'on souhaite installer. Nous choisissons d'installer l'autorité de certification et le module permettant de demander un certificat par le web (« Certificate Authority Web Enrollment »). Les autres modules sont destinés à des infrastructures complexes.

On va maintenant choisir le type de notre autorité de certification. Il en existe 2 :

 « Enterprise » qui permet de synchroniser notre autorité de certification avec Active Directory

On choisit si notre autorité de certification est l'autorité racine de notre infrastructure à clef publique ou si elle dépend d'une autre autorité.

On génère maintenant une paire de clefs à notre autorité de certification (clef publique / clef privée). On peut soit en créer une nouvelle soit en choisir.

On renseigne désormais les paramètres de chiffrement de nos clefs. J'ai choisis d'utiliser l'algorithme RSA/SHA avec une clef d'une longueur de 4096 BITS.

L'écran suivant nous récapitule tous nos paramètres de configuration de notre autorité de

certification et nous indique que l'on ne peut plus modifier le nom du contrôleur de domaine ainsi que le nom du domaine sous peine de dysfonctionnement de l'autorité.

IV.2.b HTTPS

 Configuration de HTTPS via SSL

Notre autorité de certification créée, on va générer un certificat auto-signé pour utiliser SSL. Pour cela, il faut aller dans l'assistant d'IIS7 et ouvrir « Server Certificate ».

On sélectionne dans le menu de droite « Créer un certificat auto-signé ».

Notre certificat apparaît désormais dans la liste des certificats d'IIS. On va maintenant pouvoir associer HTTPS à notre site Web. Pour cela, clic droit sur notre site puis « Edit Binding ».

Une fenêtre apparaît nous spécifiant que ce site est déjà associé au protocole HTTP. Cliquez sur « Ajouter » pour lui associer HTTPS.

Dans la fenêtre suivante, sélectionnez « HTTPS ».

Il est désormais possible de choisir un certificat pour utiliser le protocole SSL pour crypter le transfert des données entre l'utilisateur et le serveur.

choisissez « SSL Settings ».

Vous pouvez modifier les paramètres SSL dans la fenêtre suivante.

manière à exiger que le client utilise un certificat, à l'autoriser à en avoir un et pareil pour SSL. Testons notre serveur sur différents navigateurs.

 Test sur les clients du protocole HTTPS via SSL

Les paramètres des navigateurs autorisent et utilisent le protocole SSL. Le test suivant a été effectué sur un Macbook sous Firefox.

Lorsque l'on accède à l'adresse https://Winsrv2k8/ ou https://10.0.0.100/, le navigateur nous demande si nous voulons faire confiance au certificat du site émetteur. Il est possible d'examiner le certificat. Firefox nous informe que notre site n'est pas répertorié comme un site de confiance et qu'il peut être dangereux. Il nous suggère de quitter ce site ou de ne pas rentrer d'informations confidentielles.

Une fois que l'on a accepté de visualisé le site et de faire confiance au certificat, nous accédons au site Web en HTTPS et le cadenas apparaît nous signalant que le site est sécurisé. En cliquant sur le certificat, nous pouvons voir des informations complémentaires notamment que la connexion est chiffré via SSL (128 bits).

Nous allons maintenant effectuer le même test sous Windows XP équipé d'internet explorer v6.

Lorsque nous tentons d'accéder à notre site Web, le navigateur nous demande de faire confiance au site Web. Si on fait confiance, on arrive sur le site en HTTPS et le cadenas est présent.

Nous allons maintenant effectuer le test sous Windows Server 2008 équipé d'internet explorer v7. Si nous accédons au site via HTTPS, le navigateur commence par nous indiquer que nous allons nous connecter au site via une connexion sécurisé.

Ensuite, IE7 nous signale qu'il ne fait pas confiance au certificat du site et nous suggère de fermer le site.

Si nous continuons, nous arrivons sur le site mais l'adresse est surlignée en rouge et IE7 nous indique toujours que le certificat n'est pas considéré, pour lui, comme une source de confiance.

Nous voyons par cet exemple, qu'IE7 est plus sécurisé et nous indique de faire attention face à des sites non reconnus comme source de confiance.

Nous allons maintenant voir comment restreindre l'accès aux utilisateurs anonymes ou à n'importe quel utilisateur.