Installer un certificat Microsoft TMG ou UAG 2010

Préalable

Pour installer un certificat sur un serveur TMG, il vous faut tout d'abord installer le certificat sur le serveur IIS que vous avez utilisé pour faire la demande de certificat.

Suivez les instructions de cette page
Installer un certificat Microsoft IIS5 ou IIS6 ou Installer un certificat Microsoft IIS7
pour récupérer le certificat et l'importer puis revenez sur cette page ensuite.

A présent, votre certificat doit être visible dans IIS: utilisez le bouton Afficher le certificat pour vérifier.

Si vous n'avez pas suivi notre méthode d'installation automatique, assurez-vous d'avoir installé le certificat intermédiaire éventuellement nécessaire.

Si votre TMG n'est pas sur la même machine, fabriquez un fichier .pfx de transport de la clef privée et du/des certificat(s) en suivant ces instructions:
Sauvegarder votre certificat IIS5 ou IIS6 ou IIS7 et sa clef privée
puis revenez sur cette page ensuite.

Installation sur le serveur ISA

1- Lancez la MMC

Si votre IIS et ISA sont sur la même machine, allez directement à la section 3.

• Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
• Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
• Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
• Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
• Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
• Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Importez le fichier .pfx

Le fichier .pfx est le fichier contenant le certificat et la clef privée que vous avez préalablement préparé.

• Placez-vous sur Personnels puis Certificats
• Faites un clic droit, choisissez Toutes les tâches puis Importer
• Un assistant se lance. Sélectionnez le fichier du certificat à importer.
• Valider ensuite les choix par défaut
• Vérifiez que votre certificat est apparu dans la liste et que les certificats intermédiaires et racine sont dans leur dossier respectif. Si ce n'est pas le cas, rangez les dans les bons dossiers, en n'hésitant pas à remplacer un certificat existant.

3- Configurez TMG

• Voir la documentation Microsoft spécifique ou consultez les articles connexes.

Il faut parfois redémarrer complétement la machine pour que cela soit bien pris en compte.

LES RECOMMANDATIONS ET CONSEILS DE TBS CERTIFICATS

Pour des raisons de sécurité il est recommandé de :

• Activer TLS
• désactiver SSLv2 et SSLv3. Voir la documentation Microsoft pour plus d'informations : http://support.microsoft.com/kb/187498
• se protéger de BEAST : consulter la documentation. Voici notre documentation sur comment activer TLSv1.1 et TLSv1.2.
• se protéger de la renégociation non sécurisée : http://support.microsoft.com/kb/977377
• Nous vous conseillons aussi de désactiver les ciphers basés sur RC4 et 3DES.
• Nous vous conseillons aussi d'activer HSTS (configuration IIS).
• Pour mitiger les risques de sécurité liés à la configuration de Diffie-Helman et à la faille de sécurité Logjam, nous vous recommendons de configurer les Cipher Suites de IIS. Pour plus d'information, consultez la documentation ainsi que cette page de documentation Microsoft ainsi que les recommandations mozilla liées à la compatibilité. (à utiliser à titre indicatif, ces dernières n'étant pas compatibles avec IIS, contrairement aux deux liens précédents).

Découvrez aussi NARTAC, un outil qui vous permettra de facilement faire vos modifications dans IIS (aussi compatible IIS6)

Il existe également un script powershell permettant d'appliquer toutes ces recommandations de sécurité : lien externe.

Voir aussi:

• Sauvegarder votre certificat IIS5 ou IIS6 ou IIS7 et sa clef privée
• Installer les certificats intermédiaires ou racine manuellement


• RPC over HTTPS et ISA 2006 et Wildcard
• Configuration d'un ISA avec un certificat possédant des SAN

Vérifiez l'installation de votre certificat grâce à CO-PiBot :

Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, Vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.