SÉCURITÉ WEB (HTTPS)
I. SOMMAIRE II. Introduction... 2 1. Principe du HTTPS... 2 III. Contexte... 3 1. Introduction... 3 2. Topologie Logique et physique... 4 IV. Mise en place de l autorité de certification... 5 1. Préparation de l AD... 5 V. Génération des cles...13 1. Création de la demande de certification...13 2. Envoie de demande...16 3. Installation du certificat...19 VI. Resultat...21 1
II. INTRODUCTION 1. PRINCIPE DU HTTPS Le «HTTPS» permet de garantir que le serveur que l on contacté et bien le serveur que nous attendons et crypte les donnée qui échange grâce au SSL. 2
III. CONTEXTE 1. INTRODUCTION Nous avons : - Un serveur contrôleur de domaine (gsbsio2.local) avec DNS en adresse 192.168.100.10 - Un serveur de fichier en 192.168.100.20. - Deux serveurs web qui on pour adresse respective 192.168.100.30 et 192.168.100.40. - Un cluster de basculement en 192.168.100.50 Notre but à la fin d avoir une autorité de certification sur notre contrôleur de domaine qui délivrera des certificats signé pour nos deux serveurs web. 3
2. TOPOLOGIE LOGIQUE ET PHYSIQUE 4
IV. MISE EN PLACE DE L AUTORITE DE CERTIFICATION 1. PREPARATION DE L AD Nous avons choisi d installe le service de certifications sur le contrôleur de domaine du réseau. - Ajouter un nouveau rôle (service de certifications) 5
A la deuxième étape il nous faut choisir en plus de la fonctionnalité par défaut «l inscription de l autorité de certification via le web» pour que les serveurs (web) puissent faire une demande de certifications. 6
Ne soyer pas surpris si l on vous demande l installation d un serveur web il permettra au client d avoir une interface web pour faire leur demande de certification. Ensuite nous aurons le choix entre deux types d installation : - Entreprise, qui permet d applique des vérifications d information d indentification sur les utilisateurs lors de l inscription de certificat. En fonction des droits des utilisateurs les certificats peuvent être automatiquement validé. Demande obligatoirement un AD - Autonome, a chaque demande d un utilisateur la demande et mise en attente et une personne doit accepter la demande sur le service de certifications. Aucun rôle supplémentaire à ajouté 7
Si aucune autorité de certification n est présente sur le domaine chosiez «autorité de certification racine» 8
Si aucune autorité de certification n a était installer sur le domaine on choisira de créer une nouvelle clé privée par contre si l on a déjà installé une «OC» on choisira de lui donnée la clé privée existante comme ça tout les certificats précédemment émis seront toujours valide. 9
Choix de l algorithme de cryptage des certificats (nous avons choisi le SHA256 qui et en ce moment le plus recommandé). 10
Nous devons par la suite spécifier le nom de l autorité de certification qui sera utilisé plus tard lors des demandes de certifications. Par la suite nous devons choisir la période de validité des certificats (nous avons choisi 5 ans par simplicité). 11
Nous avons terminé l installation du service de certificats, mais vue que nous avons aussi demandé l installation du rôle «Inscription de l autorité de certification via le web» il nous donc un serveur web IIS. Nous avons choisi l installation du serveur web par défaut donc nous avons rien modifié de plus. 12
L installation des nouveaux rôles est terminée, pour vérifier que tout a bien marché on va voir si son bien présents. V. GENERATION DES CLES 1. CREATION DE LA DEMANDE DE CERTIFICATION Allée sur vos serveurs web est faite une création une demande de certification 13
- Nom commun : nom FQDN du domaine a sécurisé - Organisation : Non de la société - Unité organisationnelle : conteneur de l active directory - Ville : ville où se situe l entreprise - Département, région : où se situe l entreprise Choix de la longueur et du choix du fournisseur de chiffrement. 14
Indiqué un chemin ou vous génèrerez votre demande. 15
2. ENVOIE DE DEMANDE Sécurité Web (HTTPS) Accédé a l interface web pour faire la demande auprès de l autorité de certification (192.168.100.10/certsrv) Authentification avec identifiant des utilisateurs du domaine. 16
Faite une demande de certification demande de certificat avancé Colle la demande de certificat Choisir serveur Web Le serveur vous retournera un certificat signé par lui-même. 17
Exemple de certificat : -----BEGIN NEW CERTIFICATE REQUEST----- MIIDYDCCAskCAQAwaTELMAkGA1UEBhMCRlIxDzANBgNVBAgMBmNhbnRhbDERMA8G A1UEBwwIYXVyaWxsYWMxEDAOBgNVBAoMB2dzYnNpbzIxDDAKBgNVBAsMA2dzYjEW MBQGA1UEAwwNZ3Nic2lvMi5sb2NhbDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC gyeakhk0zyrqoo6ga05q8mjqqwwmmoelu21pk/7wwpsch3vhkhohuhc8mohxn+th /txa/y1lb8th4al5wjkg+gpztyeiintoygkr5t+vsw42l6tvvrp4x9gc9kfklq39 MAVOB1h1G3KzUSe1QYcOs5glKqS8lu0jGVuE5KiOv0AE8bUCAwEAAaCCAbUwGgYK KwYBBAGCNw0CAzEMFgo2LjEuNzYwMS4yMFEGCSsGAQQBgjcVFDFEMEICAQUMHFdp bjiwmdhsaxzpzxjllmdzylnjtziubg9jywwmfkdtqlnjtzjcywrtaw5pc3ryyxrl dximb21tyy5leguwcgykkwybbagcnw0cajfkmgicaqeewgbnagkaywbyag8acwbv AGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0AG8AZwBy AGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgMBADCBzwYJKoZIhvcNAQkOMYHB MIG+MA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATB4BgkqhkiG 9w0BCQ8EazBpMA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwCwYJYIZI AWUDBAEqMAsGCWCGSAFlAwQBLTALBglghkgBZQMEAQIwCwYJYIZIAWUDBAEFMAcG BSsOAwIHMAoGCCqGSIb3DQMHMB0GA1UdDgQWBBRFX0cJ82ImG57ryLFI8mUS78sx +zanbgkqhkig9w0baqufaaobgqbiwwh8jddmzm29algpe3jboyykoktvz0unegid pg80ytpbpo9xrxbdnobxrwymaz8owq++ifcebs0/yr+ogq4/3tfeeijpdnvixf/d Iyi5gUIkDxik6FXaYjHgu3oNGydSs8KoEGTrLUIN8ygfBe4tgrXHw25GdNnYK1io ewa+/a== -----END NEW CERTIFICATE REQUEST----- 18
3. INSTALLATION DU CERTIFICAT Sur les serveurs web Terminer la demande de certification Nom convivial du serveur web 19
Changer les paramètres des sites web pour autoriser le trafic sur le pour 443 qui est le port par default du «https» Les nouvelles liaison http 20
VI. RESULTAT On peut voir que notre certificat est bien signé mais il manque la validation par internet ce qui validera complètement notre certificat. 21