WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB Installation et administration d un serveur web Module 25793 TP A5 (1/2 valeur) Chapitre 19 Internet Information Services (v.5) Partie 3 - Sécurité
Le plus grand soin a été apporté à la réalisation de ce support pédagogique afin de vous fournir une information complète et fiable. Cependant, le Cnam Champagne-Ardenne n'assume de responsabilités, ni pour son utilisation, ni pour les contrefaçons de brevets ou atteintes aux droits de tierces personnes qui pourraient résulter de cette utilisation. Les exemples ou programmes présents dans cet ouvrage sont fournis pour illustrer les descriptions théoriques. Ils ne sont en aucun cas destinés à une utilisation commerciale ou professionnelle. Le Cnam ne pourra en aucun cas être tenu pour responsable des préjudices ou dommages de quelque nature que ce soit pouvant résulter de l'utilisation de ces exemples ou programmes. Tous les noms de produits ou autres marques cités dans ce support sont des marques déposées par leurs propriétaires respectifs. Ce support pédagogique a été rédigé par Michel Melcior, enseignant vacataire au Cnam Champagne-Ardenne. Copyright 2001-2003 Centre d'enseignement A Distance du Cnam Champagne-Ardenne. Tous droits réservés. Toute reproduction, même partielle, par quelque procédé que ce soit, est interdite sans autorisation préalable du Cnam Champagne-Ardenne. Une copie par xérographie, photographie, film, support magnétique ou autre, constitue une contrefaçon passible des peines prévues par la loi, du 11 mars 1957 et du 3 juillet 1995, sur la protection des droits d'auteur.
INTERNET INFORMATION SERVER (V.5) SECURITE 1. OBJECTIFS A l'issue de cette séquence, vous devriez être capable de : Décrire les étapes permettant de mettre en œuvre un serveur IIS avec SSL. Utiliser un utilitaire permettant d'auditer IIS et de proposer les mises à jour de sécurité. 2. IIS ET SSL Tout comme Apache, IIS supporte le protocole SSL et le système des certificats. Voici la procédure à suivre. 2.1. CREER LA PAIRE DE CLEFS ET LA DEMANDE DE CERTIFICAT. Lancer le Gestionnaire de Service Internet. Ouvrir la fenêtre de propriétés (avec un clic-bouton droit) du site web à sécuriser. Installation et administration d un serveur web 1
Sélectionner l'onglet Sécurité de répertoire Cliquer sur le bouton Certificat de serveur dans la section Communications sécurisées (si vous n'avez jamais utilisé cette option auparavant, le bouton Modifier est grisé) Cliquer sur Suivant au lancement de l'assistant Certificat de serveur web Choisir Créer un certificat Internet Information Services IIS (v.5) 2
La demande doit être préparée mais elle devra être envoyée via les formulaires en ligne sur le site web. Saisie du nom du certificat et la longueur de la clef Installation et administration d un serveur web 3
Choisissez de préférence une clef d'une longueur de 1024 bits. Cette taille est le meilleur compromis entre la sécurité cryptographique et les performances de votre serveur. Si vous souhaitez commander un Certificat Serveur Global, cochez la case Certificat SGC. Votre bi-clé (clef publique + clef privée) est maintenant créée. La clef privée est stockée localement sur votre machine. La partie publique sera transmise à Certplus sous la forme d'une CSR (Certificate Signing Request). Vous allez maintenant renseigner votre CSR. Ces informations seront présentes dans votre certificat et identifieront le propriétaire de la clef privée auprès des utilisateurs. La CSR est seulement utilisée pour demander le certificat. Internet Information Services IIS (v.5) 4
Entrer le Nom Commun. Le terme Nom Commun (ou Common Name) est le champ qui identifie le mieux le certificat et est lié à votre site web. Dans le cas d'un certificat SSL, entrer le nom de domaine pleinement qualifié (ex : www.bizness.com, www.monentreprise.com etc.) Installation et administration d un serveur web 5
Saisir les informations géographiques (pays, le département ou la région et la ville) Sélectionner un fichier dans lequel sauvegarder votre CSR. Choisissez un emplacement facile à mémoriser. Vous aurez à ouvrir ce fichier avec le bloc-note. La CSR sera copiée/collée dans notre formulaire web. Une fois que la CSR aura été envoyée à Certplus, celle-ci ne sera plus nécessaire. Internet Information Services IIS (v.5) 6
Confirmer les informations contenues dans votre demande Valider et terminer la procédure de création Installation et administration d un serveur web 7
Internet Information Services IIS (v.5) 8
2.2. INSTALLER LE GESTIONNAIRE DE CERTIFICATS. Pour obtenir un certificat d'entreprise (haut niveau de crédibilité), le serveur gestionnaire de certificats doit être contrôleur de domaine active directory. IIS doit être installé sur ce serveur. La mise en œuvre d'active directory dépasse le cadre de cette unité de valeur. Je vais donc uniquement décrire la procédure permettant d'installer le service de certificats et d'obtenir des certificats autonomes. Il faut passer par la procédure ajout/suppression programme, composants Windows. Vous allez ensuite choisir un certificat de type racine autorité autonome. Installation et administration d un serveur web 9
Il vous est ensuite demandé d'entrer des informations sur votre société certificatrice. Internet Information Services IIS (v.5) 10
Puis un emplacement de stockage des données est proposé. Installation et administration d un serveur web 11
Terminez l'installation. 2.3. DEMANDER LE CERTIFICAT. Il faudra utiliser le formulaire installé par le service de certificats et recopier le contenu du fichier certreq.txt par un copier coller depuis le bloc note vers le formulaire. 2.4. INSTALLER LE CERTIFICAT. La réponse reçue de Certplus contient votre certificat, c'est à dire votre clef publique signée par l'autorité de certification. Faites un copier/coller de la zone -----BEGIN CERTIFICATE----- jusqu'à -----END CERTIFICATE- ---- et le copier, à l'aide du bloc-note dans un fichier et sauvegarder le fichier. 1. Lancer le Gestionnaire de Service Internet. 2. Ouvrir la fenêtre de propriétés (avec un clic-bouton droit) du site web à sécuriser. 3. Sélectionner l'onglet Sécurité de répertoire 4. Cliquer sur le bouton Certificat de serveur dans la section Communications sécurisées 5. Cliquer sur Suivant au lancement de l'assistant Certificat de serveur web Internet Information Services IIS (v.5) 12
6. Sélectionner Traiter la demande en attente et installer le certificat Installation et administration d un serveur web 13
7. Sélectionner le fichier précédemment crée avec le bloc-note contenant votre certificat 8. Vérifier les informations, s'assurer d'utiliser le bon certificat et cliquer sur Suivant Internet Information Services IIS (v.5) 14
9. Cliquer sur terminer. 2.5. INSTALLER SSL POUR IIS. Une fois que vous avez appliqué le certificat du serveur de web, vous devez activer SSL pour IIS. 1. Lancer le Gestionnaire de Service Internet puis, double-cliquer sur le site Internet pour lequel vous désirez activer SSL 2. Sur la feuille Site Web, sélectionner le N de p ort pour SSL (par défaut 443) 3. Allez ensuite sur l onglet sécurité des répertoires / communications sécurisées et cliquez sur OK pour activer la gestion des certificats. 4. Si vous désirez refuser certains répertoires il faut aussi sélectionner le répertoire désiré et aller dans propriétés / sécurité du répertoire / communications sécurisées et désactiver la gestion des certificats. 3. MISES A JOUR DE SECURITE. IIS est un produit possédant de nombreux problèmes de sécurité. Il faut vous tenir très régulièrement au courant des alertes en consultant des sites comme www.cert.org. Des patchs logiciels sont régulièrement publiés par Microsoft. Il faut les installer. Il existe un utilitaire qui peut vous aider pour les mises à jour de sécurité de votre serveur IIS. Il s'agit de IISecure développé par Le laboratoire des technologies Microsoft de Supinfo Paris. http://www.laboratoire-microsoft.org/iisecure/ IISecure est une petite application qui se loge simplement dans la barre des taches et qui, périodiquement, regarde directement sur le site de Microsoft si de nouveaux Hotfix sont apparues. Des qu'un nouveau Hotfix est détecté, IISecure vous avertit par email ou par NetSend. Installation et administration d un serveur web 15
IISecure détecte automatiquement les patches qui sont déjà installés (si il est lancé directement sur le serveur). Vous avez accès, pour chaque Hotfix, à une brève description et a tous les liens nécessaires pour les télécharger depuis le site de Microsoft. Je vous invite à consulter le site de SupInfo et à télécharger l'utilitaire en question. Pour IIS comme pour tout logiciel (dont Apache) une bonne connaissance des actualités en matière d'alertes de sécurité est indispensable. Soyez donc des administrateurs avertis. Internet Information Services IIS (v.5) 16