Installer un certificat Microsoft IIS7

ATTENTION : la procédure ci-dessous est valable uniquement si vous avez généré le CSR via l'interface de IIS ou via la MMC de Windows. Si vous avez utilisé notre outil KeyBot pour générer le CSR, veuillez vous rendre sur cette page : Installer un fichier PFX sur votre IIS7 ou IIS8

Vous avez reçu votre certificat par email. Gardez cet email sous la main.

1- Récupérez le certificat sur votre serveur

Téléchargez le fichier global (.p7b) indiqué dans l'email de livraison sur votre bureau.

Attention: si vous utilisez le certificat au format X509 (.cer) vous devrez ensuite installer les certificats intermédiaires et racine à la main. Il est plus rapide de suivre cette NOUVELLE procédure d'installation.

2- Importez le certificat

• Ouvrez le nouvel outil d'administration Internet Information Services. Sélectionnez le Serveur Web concerné dans l'arbre sur la gauche. Double-cliquez sur l'icone Certificats Serveur (Server Certificates) sur la gauche.
• Dans le panneau Action, cliquer sur Finaliser une demande de certificat ("Complete Certificate Request...").







• Dans la boite de dialogue qui apparait, appuyez sur Parcourir, mettez le filtre à *.* et choisissez le fichier où se trouve votre certificat téléchargé ci-dessus. Cliquez sur Ouvrir.
• Donnez un nom unique à votre certificat (sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \:), puis OK.

A NOTER: il arrive souvent que IIS7 retourne une erreur disant 'Impossible de trouver une demande de certificat associée à ce fichier de certificat.' Malgré ce bug, le certificat est en général correctement importé, mais sans le nom unique: donc vérifiez s'il est apparu dans la liste. Si oui, continuez la procédure ci-dessous sans tenir compte de l'erreur.

3- Liez le certificat

• Toujours dans l'outil d'administration Internet Information Services, sélectionnez le Site Web concerné dans l'arbre sur la gauche.






• Dans le panneau Action, cliquer sur "Laisons" ("Bindings")
• Cliquez sur Ajouter ("New")
• Sélectionnez le protocole "https"
• Choisissez le certificat importé dans l'étape précédente

Messages d'erreurs Microsoft

Parfois, des messages d'erreurs de ce type peuvent apparaître lors de l'importation du certificat (.p7b ou .cer)
(Erreurs référencées par Microsoft ici : http://support.microsoft.com/kb/959216/fr ).

• « Impossible de trouver la demande de certificat associée à ce fichier de certificat. Une demande de certificat doit être effectuée sur l'ordinateur où il a été créé. »


• «Une erreur s'est produite lors de cette opération Détails : CertEnroll::CX509Enrollment::p_InstallResponse : valeur de balise incorrecte ASN1 remplies. 0X8009310B (ASN:276) »

Cause

Ce problème se produit car le Gestionnaire IIS effectue une opération de recherche pour rechercher un nom convivial du certificat pendant l'installation. Toutefois, il se peut que IIS n'arrive pas à récupérer le nom convivial d'un certificat dans un fichier PKCS#7. Par conséquent, l'opération de recherche échoue et vous recevez le message d'erreur.
MAIS, LE CERTIFICAT, DANS DE NOMBREUX CAS, EST TOUT DE MÊME IMPORTÉ

Résolution

Pour résoudre ce problème, ajoutez un nom convivial pour le certificat. Pour ce faire, procédez comme suit :

• Cliquez sur Démarrer, sur exécuter, tapez certmgr.mmc et puis cliquez sur OK.
• Recherchez le certificat (recherchez dans "personnel" / "certificats").
• Cliquez droit sur le certificat, puis cliquez sur Propriétés.
• Modifier le champ nom convivial.

Autre message d'erreur possible

• A certificate chain could not be built to a trusted root authority

Cause

Ce message d'erreur apparait lorsque le certificat racine de la chaine de certification n'est pas de le magasin de certificats Windows.

Résolution

Il faut importer manuellement le certificat racine et la chaine de certification. Ces éléments sont disponibles sur la page statut du certificat, bouton "Voir le certificat". Une fois que tout est importé, vous pouvez retenter l'opération avec votre certificat .p7b

Pour savoir comment importer un certificat intermédiaire ou racine manuellement, voici un lien de notre FAQ : Installer les certificats intermédiaires ou racine manuellement

4- Testez

Testez maintenant l'accès à votre site sécurisé avec IE et Firefox. Avec IE 7 et Firefox 3, attendez vous à un message d'erreur concernant la non-concordance des noms de site, puisque vous testez en local.

Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, Vous y trouverez un bouton "Tester l'installation" pour tester la bonne installation de votre certificat.

LES RECOMMANDATIONS ET CONSEILS DE TBS CERTIFICATS

Pour des raisons de sécurité il est recommandé de :

• Activer TLS1.2
• désactiver SSLv2 et SSLv3. Pour plus d'informations :Documentation Microsoft
• se protéger de BEAST : consulter la documentation. Voici notre documentation sur comment activer TLSv1.1 et TLSv1.2.
• Nous vous conseillons aussi de désactiver les ciphers basés sur RC4 et 3DES.
• Nous vous conseillons aussi d'activer HSTS (configuration IIS).
• Pour mitiger les risques de sécurité liés à la configuration de Diffie-Helman et à la faille de sécurité Logjam, nous vous recommendons de configurer les Cipher Suites de IIS. Pour plus d'information, consultez la documentation ainsi que cette page de documentation Microsoft ainsi que les recommandations mozilla liées à la compatibilité. (à utiliser à titre indicatif, ces dernières n'étant pas compatibles avec IIS, contrairement aux deux liens précédents).

Découvrez aussi IIS Crypto par Nartac, un outil qui vous permettra de facilement faire vos modifications dans IIS (aussi compatible IIS6)

Il existe également un script powershell permettant d'appliquer toutes ces recommandations de sécurité : lien externe.

Cas de figures rencontrés

"SSL Handcheck erreur" ou le SSL ne démarre pas.

Vérifiez que le certificat est correctement installé, avec sa clef privée. Pour cela, utilisez la MMC de votre serveur windows. Il arrive parfois qu'un bug windows, lors de la copie / installation du certificat, ce dernier soit placé dans le "l'espace utilisateur / container user" au lieu de "l'ordinateur local / local computer".
Vous pouvez alors régler ce problème par une exportation locale puis ré-import dans l'ordinateur local.

Liens utiles

• Installer les certificats intermédiaires ou racine manuellement
• Exporter votre certificat IIS5 ou IIS6 ou IIS7 et sa clef privée
• Importer un fichier PFX (PKCS#12) dans votre IIS7 ou IIS8
• Forcer IIS à faire du 128-bit
• IIS mélange les sites et ne démarre pas le SSL au reboot
• Installer un certificat après suppression de la demande de certificat en cours
• Désactiver un certificat intermédiaire ou racine sur Windows Server
• Desactiver la racine Thawte PCA (2036)
• Désactiver la racine COMODO RSA Certification Authority (2038)
• Desactiver la racine VeriSign Class 3 Public Primary Certification Authority - G5 (2036)
• Configurer un même certificat (wildcard, multi-sites) et même port (443) sur plusieurs sites sur IIS7
• Créer un répertoire commençant par un point sous Windows

• Documentation officielle : installer un certificat sous IIS7
• Documentation officielle : associer un certificat à un site sous IIS7
• Une documentation semi-officielle sur SSL sous IIS7
• Messages d'erreurs connus