Lorsque vous travaillez pour un projet de déploiement de logiciel, vous déployez du code dans plusieurs environnements et le testez. Vous testez le site en HTTP mais pas en HTTPS. Pourquoi? Parce que vous avez besoin d’un certificat supplémentaire pour cela. Obtenir un certificat pour un environnement inférieur peut être difficile en raison des facteurs de coût, mais il existe un moyen d’obtenir un certificat générique et de le configurer avec votre site Web.
Vous pouvez implémenter une solution PKI à l’aide du rôle de serveur Windows AD CS.
PKI (Infrastructure à Clé Publique) est la combinaison de logiciels, de technologies de chiffrement, de processus et de services qui permet à une organisation de sécuriser ses données, ses communications et ses transactions commerciales. La PKI repose sur l’échange de certificats numériques entre des utilisateurs authentifiés et des ressources de confiance. Vous utilisez des certificats pour sécuriser les données et gérer les informations d’identification des utilisateurs et des ordinateurs à l’intérieur et à l’extérieur de votre organisation.
Le rôle AD CS Windows Server permet des scénarios tels que le réseau sans fil sécurisé, le réseau privé virtuel, la sécurité du protocole Internet, la protection de l’accès au réseau et le cryptage du système de fichiers.
Aujourd’hui, nous allons voir comment générer un certificat générique. Il existe deux manières : l’une consiste à le générer à l’aide d’IIS avec une autorité de certification interne et une autre consiste à créer un certificat générique en utilisant MMC avec une autorité de certification interne. Regardons ceux-ci un à la fois :
Conditions préalables:
1. Les serveurs AD et DNS sont préinstallés sur le serveur Windows 2012 ou version ultérieure.
2. Rôle AD CS installé (CA + CA Web Enrollment) sur le serveur Windows autonome 2012 ou version ultérieure.
Étape de déploiement
1ère méthode :
1. Connectez-vous au serveur d’applications, ouvrez la console IIS et cliquez sur le certificat du serveur sous le nom du serveur :
2. Créez un certificat de domaine comme indiqué ci-dessous.
3. Sélectionnez Autorité de certification et attribuez-lui un nom convivial.
4. Validez le certificat.
5. Liez le certificat sur votre site Web. Sélectionnez le site Web par défaut, cliquez sur Lier, puis choisissez le type HTTPS, puis le certificat générique que vous avez créé.
6. Créez une entrée d’alias sur le serveur DNS pour pointer vers le serveur d’applications sur lequel vous avez installé le certificat.
7. Vous pouvez maintenant parcourir le site en HTTPS. Lorsque vous cliquez sur l’icône de verrouillage du navigateur, vous voyez le certificat valide délivré par l’autorité de certification interne.
2ème méthode :
1. Connectez-vous au serveur d’applications et ouvrez le composant logiciel enfichable MMC de certificats et ajoutez le composant logiciel enfichable de certificat.
2. Sélectionnez ensuite un compte d’ordinateur pour la gestion des certificats, puis sélectionnez l’ordinateur local pour ouvrir la console.
3. Cliquez avec le bouton droit sur le dossier Certificats, qui se trouve sous le dossier personnel. Sélectionnez Toutes les tâches > Options avancées > Créer une demande personnalisée :
4. Dans la page d’inscription du certificat, sélectionnez Demande personnalisée > Continuer sans stratégie d’inscription, puis sélectionnez Suivant.
5. Dans la page de demande personnalisée, sélectionnez (Aucun modèle) Clé héritée dans la liste déroulante, puis sélectionnez Suivant.
6. Sur la page Informations sur le certificat, développez le lien Détails, puis sélectionnez le bouton Propriétés.
7. Dans l’onglet Général, remplissez le champ Nom convivial et vous pouvez éventuellement ajouter une description pour le certificat. Plus tard, ajoutez des informations dans la ligne d’objet, comme un nom commun pour le certificat générique (*.sagarcloud.com), OU, Organisation, État, Pays.
8. Sélectionnez l’onglet Extensions, Dans Utilisation de la clé, sélectionnez Chiffrement numérique et clé.
9. Dans l’onglet Clé privée, définissez la taille de la clé sur 4096, sélectionnez l’option « Rendre la clé privée exportable ».
10. Cliquez sur ok, suivant et terminez. Enregistrez le fichier demandé sur un lecteur local. Vous avez maintenant créé une demande de certificat. L’étape suivante consiste à générer le certificat.
11. Connectez-vous au serveur CA et parcourez la page Web d’inscription de votre CA interne (http://localhost/certsrv/Default.asp ) et cliquez sur demander un certificat.
12. Cliquez sur demande de certificat avancée :
13. Ouvrez le fichier de demande précédemment créé dans le bloc-notes (référez-vous à l’étape #10) et copiez toutes les données et collez-le dans la boîte de demande enregistrée. Sélectionner serveur Web et cliquez sur soumettre.
14. Une fois cela fait, il vous proposera de télécharger le certificat. Sélectionnez la base 64 et téléchargez le certificat. Copiez le certificat sur la machine cliente sur laquelle vous avez émis la demande de certificat.
15. Connectez-vous à l’ordinateur client et ouvrez MMC. Cliquez avec le bouton droit sur le dossier Certificats dans le magasin de dossiers personnels et sélectionnez importer dans le certificat.
Une fois que vous avez effectué toutes les étapes ci-dessus avec succès, ouvrez le certificat et vous devriez avoir un certificat générique valide.
Faites-moi part de vos impressions sur cet article. Si vous souhaitez savoir comment installer le rôle AD CS installé (CA + CA Web Enrollment), commentez pour que je le partage dans le prochain article.