Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec SSL...13 3.1 Préparer une demande de certificat...13 3.2 Envoyer la demande à l autorité de certification...16 3.3 Délivrer le certificat...20 3.4 Récupérer le certificat...22 3.5 Attribuer le certificat à un site web...25 3.6 Attacher le certificat au site web...27 3.7 Exiger une communication sécurisée...29 2011 Hakim Benameurlaine 1
1 Introduction Les trames circulant sur un réseau n'étant pas cryptées il est donc potentiellement possible de les intercepter pour en extraire le contenu. Pour des données sensibles, cela n'est pas satisfaisant. Nous allons étudier une solution envisageable pour sécuriser les données circulant sur notre Intranet. Il s'agît du cryptage SSL qui est largement employé sur Internet pour rendre confidentiel les échanges au travers du réseau des réseaux. IIS (Internet Information) Services propose bien évidemment la prise en charge de ce protocole pour sécuriser les données transmises sur le réseau entre le serveur Web et un client, Ce procédé repose en fait sur l'utilisation de certificats. Un certificat sert à sécuriser l'échange d'informations entre le client (votre navigateur Web) et le serveur (IIS) au moyen d'un système de cryptage. Lorsqu'un navigateur Web prenant en charge les communications sécurisées se connecte à un site Web configuré pour utiliser Secure Sockets Layer (URL commençant par https://), une connexion sécurisée protège les données transférées. Comment repérer si la page affichée dans le navigateur web est sécurisée? Vous trouvez dans la barre de statut le symbole cadenas qui est affiché : 2011 Hakim Benameurlaine 2
2 Mise en place d une autorité de certification 2.1 Introduction Le cryptage des pages Web par SSL s'appuient sur les certificats. Ces derniers permettent d'identifier avec certitude une entité par l'intermédiaire de différentes informations qu'ils intègrent. Ils contiennent les clés assurant le cryptage et décryptage des données. Le certificat peut être délivré de deux manières, soit par une société spécialisée en la matière (VeriSign par exemple), soit par une autorité de certification directement installée sur le réseau. C'est le rôle du service de certificat de Windows 2008. Comme la sécurisation à réaliser est celle de l'intranet il n'est pas nécessaire d'avoir un certificat issu d'une société spécialisée (c'est-à-dire d'un tiers de confiance), d'autant plus que cela est payant. Il faut donc installer l'autorité de certification fournie avec Windows 2008 Server. 2011 Hakim Benameurlaine 3
2.2 Installer le service de certificat 1) Aller dans Gérer votre serveur et cliquer sur Ajouter des rôles. 2011 Hakim Benameurlaine 4
2) Cocher Services de certificats Active Directory. 3) Cocher Inscription de l autorité de certification via le web. 2011 Hakim Benameurlaine 5
4) Choisir Autonome. 5) Choisir Autorité de certification racine. 6) Choisir Créer une nouvelle clé privée. 2011 Hakim Benameurlaine 6
7) Configurer le chiffrement de l autorité de certification. 8) Configurer le nom de l autorité de certification. 2011 Hakim Benameurlaine 7
9) Spécifier la période de validité du certificat. 10) Laissez les choix par défaut pour les emplacements du stockage des données. 2011 Hakim Benameurlaine 8
11) Sélectionner les services de rôle. 2011 Hakim Benameurlaine 9
12) Confirmer les sélections pour l installation. 2011 Hakim Benameurlaine 10
13) Résultats de l installation. 2011 Hakim Benameurlaine 11
Vous avez maintenant dans les "Outils d'administration" une "Autorité de certification" : Dans le "Site Web pas défaut" de IIS deux nouveaux sous sites, "CertSrv" et "CertEnroll" : 2011 Hakim Benameurlaine 12
3 Sécuriser un site web avec SSL 3.1 Préparer une demande de certificat Faire les étapes suivantes à partir du serveur WEB : 1) Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web. 2) Double-cliquer sur Certificats de serveur. 2011 Hakim Benameurlaine 13
3) Fournir les informations demandées puis cliquer sur Suivant. 4) Spécifier le fournisseur et la longueur de la clé de chiffrement puis cliquer sur Suivant. 2011 Hakim Benameurlaine 14
5) Spécifier le nom du fichier dans lequel sera sauvegarder la demande de certificat puis cliquer sur Terminer. 2011 Hakim Benameurlaine 15
3.2 Envoyer la demande à l autorité de certification Il s'agit d'envoyer le fichier texte au service de certificat (autorité de certification). Faire les étapes suivantes à partir du serveur WEB : 1) A partir d'un navigateur du serveur tapez l'adresse : http://192.168.10.2/certsrv 192.168.10.2 est l adresse ip de l autorité de certification. 2011 Hakim Benameurlaine 16
2) Choisir "Demander un certificat". 3) Dans le type de demande, sélectionner "Demande de certificat avancée". 4) Sélectionner "Soumettez une demande de certificat en utilisant un fichier CMC.." 2011 Hakim Benameurlaine 17
5) Dans la fenêtre suivante, vous devez copier le contenu du fichier orabec.ca.txt dans la zone "Demande enregistrée". Pour cela, ouvrez avec le bloc-notes le fichier orabec.ca.txt, sélectionnez tout le texte et faites "Copier". 6) Revenir à la fenêtre du navigateur, placez-vous dans la zone "Demande enregistrée" et faire "Coller". 2011 Hakim Benameurlaine 18
7) Il vous reste à cliquer sur le bouton "Envoyer" et à fermer la fenêtre. 2011 Hakim Benameurlaine 19
3.3 Délivrer le certificat Faire les étapes suivantes à partir du serveur de certificats (autorité de certification): Dans "Outils d'administrations", "Autorité de certification", entrez dans "Demandes en attentes" pour notre certificat. Vous devez y trouver un certificat en attente de traitement. Faites "Délivrer". 2011 Hakim Benameurlaine 20
Le certificat passe alors dans "Certificats délivrés". Vous pouvez quitter la fenêtre "Autorité de certification". 2011 Hakim Benameurlaine 21
3.4 Récupérer le certificat Faire les étapes suivantes à partir du serveur de certificats (autorité de certification): 1) A partir d'un navigateur du serveur tapez l'adresse : http://192.168.10.2/certsrv 192.168.10.2 est l adresse ip de l autorité de certification. 2) Choisir "Afficher le statut d une requête de certificat en attente". 2011 Hakim Benameurlaine 22
3) Cliquer sur le certificat pour voir le statut. 4) Laisser le choix "Codé DER" et cliquer sur "Télécharger le certificat". 2011 Hakim Benameurlaine 23
5) Il vous est alors proposé d'enregistrer le fichier certnew.cer. Vous pouvez l'enregistrer par exemple sur le bureau. 2011 Hakim Benameurlaine 24
3.5 Attribuer le certificat à un site web Faire les étapes suivantes à partir du serveur WEB : 1) Lancer le Gestionnaire des services Internet(IIS) et sélectionner le serveur web. 2) Double-cliquer sur Certificats de serveur et cliquer sur Terminer la demande de certificat... 2011 Hakim Benameurlaine 25
3) Spécifier le fichier contenant la réponse de l autorité de certification et un nom. 2011 Hakim Benameurlaine 26
3.6 Attacher le certificat au site web 2011 Hakim Benameurlaine 27
2011 Hakim Benameurlaine 28
3.7 Exiger une communication sécurisée Faire les étapes suivantes à partir du serveur WEB : 1) Si vous voulez exiger qu'une page ou un répertoire ou un répertoire virtuel ne puisse être utilisé qu'en mode sécurisé. 2) Ensuite faire les choix suivants : 2011 Hakim Benameurlaine 29
3) Faire un test: 2011 Hakim Benameurlaine 30