Au lieu d’acheter et de renouveler un certificat annuel, vous pouvez utiliser la capacité de votre serveur Windows Server pour générer un certificat auto-signé qui soit pratique, facile et devrait parfaitement répondre à ces types de besoins.
Création d'un certificat auto-signé sur IIS
Bien qu'il existe plusieurs façons de créer un certificat auto-signé, nous utiliserons l'utilitaire SelfSSL de Microsoft. Malheureusement, cela n’est pas livré avec IIS, mais il est disponible gratuitement dans IIS 6.0 Resource Toolkit (lien fourni au bas de cet article). Malgré le nom «IIS 6.0», cet utilitaire fonctionne parfaitement dans IIS 7.
Tout ce qui est requis est d'extraire l'IIS6RT pour obtenir l'utilitaire selfssl.exe. À partir de là, vous pouvez le copier dans votre répertoire Windows ou sur un chemin réseau / un lecteur USB pour une utilisation ultérieure sur un autre ordinateur (vous n'avez donc pas besoin de télécharger et d'extraire le fichier IIS6RT complet).
Une fois que vous avez installé l'utilitaire SelfSSL, exécutez la commande suivante (en tant qu'administrateur) en remplaçant les valeurs entre <>, selon le cas:
selfssl /N:CN= /V:
L'exemple ci-dessous génère un certificat générique auto-signé contre «mydomain.com» et le définit comme valide pour 9 999 jours. De plus, en répondant oui à l'invite, ce certificat est automatiquement configuré pour se lier au port 443 dans le site Web par défaut d'IIS.
Allez dans Démarrer> Exécuter (ou Windows Key + R) et entrez “mmc”. Vous pouvez recevoir une invite UAC, l'accepter et une console de gestion vide s'ouvre.
Dans la console, sélectionnez Fichier> Ajouter / Supprimer un composant logiciel enfichable.
Exportation du certificat
Si vous allez accéder à un site qui utilise le certificat SSL auto-signé sur n’importe quel ordinateur client (c’est-à-dire un ordinateur autre que le serveur), afin d’éviter toute attaque potentielle d’erreurs de certificat et d’avertissements, vous devez installer le certificat auto-signé. sur chacune des machines clientes (que nous discuterons en détail ci-dessous). Pour ce faire, nous devons d’abord exporter le certificat correspondant afin qu’il puisse être installé sur les clients.
Dans la console avec la gestion des certificats chargée, accédez à Autorités de certification racines de confiance> Certificats. Localisez le certificat, cliquez avec le bouton droit de la souris et sélectionnez Toutes les tâches> Exporter.
Déploiement sur des ordinateurs clients
Une fois que vous avez créé le certificat côté serveur et que tout fonctionne correctement, vous remarquerez peut-être que lorsqu'un ordinateur client se connecte à l'URL respective, un avertissement de certificat s'affiche. Cela se produit car l’autorité de certification (votre serveur) n’est pas une source fiable pour les certificats SSL sur le client.
Selon le navigateur que vous utilisez, ce processus peut varier. IE et Chrome lisent tous les deux à partir du magasin de certificats Windows. Cependant, Firefox dispose d'une méthode personnalisée de gestion des certificats de sécurité.
Note importante: Vous devriez jamais installer un certificat de sécurité d'une source inconnue. En pratique, vous ne devez installer un certificat localement que si vous l'avez généré. Aucun site Web légitime n’exigerait que vous exécutiez ces étapes.
Internet Explorer et Google Chrome - Installation du certificat localement
Remarque: Même si Firefox n'utilise pas le magasin de certificats Windows natif, cette étape est néanmoins recommandée.
Copiez le certificat qui a été exporté du serveur (le fichier PFX) vers la machine client ou assurez-vous qu’il est disponible dans un chemin réseau.
Ouvrez la gestion du magasin de certificats local sur la machine client en suivant exactement les mêmes étapes que ci-dessus.Vous finirez par vous retrouver sur un écran comme celui ci-dessous.
Firefox - Autoriser les exceptions
Firefox traite ce processus un peu différemment car il ne lit pas les informations de certificat du magasin Windows. Plutôt que d'installer des certificats (en tant que tels), il vous permet de définir des exceptions pour les certificats SSL sur des sites particuliers.
Lorsque vous visitez un site qui présente une erreur de certificat, vous recevez un avertissement semblable à celui ci-dessous. La zone en bleu nommera l'URL respective à laquelle vous essayez d'accéder. Pour créer une exception afin de contourner cet avertissement sur l'URL respective, cliquez sur le bouton Ajouter une exception.
Conclusion
Il vaut la peine de répéter la remarque ci-dessus selon laquelle vous devriez jamais installer un certificat de sécurité d'une source inconnue. En pratique, vous ne devez installer un certificat localement que si vous l'avez généré. Aucun site Web légitime n’exigerait que vous exécutiez ces étapes.
Liens
Télécharger le kit d’outils de ressources IIS 6.0 (inclut l’utilitaire SelfSSL) à partir de Microsoft