Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin

Installation d'un Serveur de Certificat autonome avec Windows 2000 sp4

Updated 27 août, 2004 Hervé Chaudret

Chapitre 1 : Installation d'une connexion SSL pour un serveur Web IIS 5 sur Windows 2000 sp4

  1. Pré requis
  2. Installation du serveur de certificat autonome
  3. Vérification de l'installation du serveur de certificats
  4. Demande d'un "certificat serveur" à l'autorité de certification pour l'authentification SSL
  5. Acceptation de la demande par l'autorité de certification
  6. Récupérer le certificat avec son Explorateur Internet (IE6)
  7. Déplacer le Certificat vers le conteneur de  l'ordinateur local
    1. Création d'une console MMC pour la gestion des certificats Ordinateur local
    2. Création d'une console MMC pour la gestion des certificats de l'utilisateur personnel
    3. Transférer le certificat

Pré requis

  • Serveur Windows 2000 avec Sp4 dans un Workgroups indépendant (non joint à l'Active Directorie)
  • Service IIS 5 installé sur le serveur

Installation du Serveur de Certificat Autonome

Avant de commencer l'installation :

  1. Créer un répertoire CertConfig sur le disque système le mettre en partage pour tout le monde.
  2. Créer un répertoire par exemple CertificatServeur.
  3. Dans le gestionnaire des Services Internet IIS 5.0 créer un site virtuel que l'on peut nommer CertificatServer qui pointera sur le répertoire vide CertificatServeur et le démarrer.

Installer le service de Certificats comme tout autre services de Windows 2000 en allant dans [Ajout/Suppression de programmes]

Installer le serveur de certification comme autorité racine autonome

Il serait intéressante de sélectionner une longueur de clé de 1024 au lieu de par défault

Remplir les différents volets de l'autorité racine

C'est ici qu'il faut avoir créé un répertoire partagé pour stocker les informations de configuration

Vérification de l'installation du serveur de certificats

Si vous aviez créé un site Web CertificatsServeur comme décrit dans les pré requis, l'installation du service de certificats créer les répertoires virtuels CertSrv, CertControl et CertEnroll qui servent à la demande de certificat par le client web, sinon l'installation créé ces répertoires virtuels dans le site web actif ce qui complique passablement l'utilisation.

Le site peut être ramené à sa plus stricte représentation pour raison de sécurité

.

Vous devez trouver dans le menu [Démarrer] [Outils d'administration] l'outil pour la gestion des demandes de certifications

 

Demande d'un "certificat serveur" à l'autorité de certification pour l'authentification SSL

Les échanges définis par le protocole SSL se déroulent en deux phases:

1) Première phase : authentification du serveur
Suite à la requête d'un client, le serveur envoie son certificat au client et lui liste les algorithmes cryptographiques, qu'il souhaite négocier. Le client vérifie la validité du certificat à l'aide de la clé publique du CA (Certificate Authority) contenue dans le navigateur. Si le certificat est valide, le client génère un pré-master secret (PMS) de 48 octets qui servira à dériver le master secret (MS) de même taille, 48 octets, ce qui représente l'entropie maximale de la clé. Ce PMS est chiffré avec la clé publique du serveur puis transmis à ce dernier. Les données échangées par la suite entre le client et le serveur sont chiffrées et authentifiées à l'aide de clés dérivées de la clé maître.

Après l'installation du serveur de certificat, nous allons demander un Certificat Serveur pour le serveur IIS. Vérifier que le site Web CertificatsServeur est démarrer. Pour ce test je n'ai pas déclaré ce site Web dans le DNS, je le joins par son adresse IP.

Avec un client Web (ici IE 6.0 Sp1) se connecter à l'adresse du serveur Web

Pour accéder à une demande d'un Certificat pour un serveur il faut sélectionner Demande avancée

Faire la demande en sélectionnant "Certificat d'authentification de Serveur" et mettre la clé à 1024 pour raison de sécurité voir Rappel SSL

En revenant au menu principal et en demandant "Vérifier un certificat en attente", vous avez votre demande de certificat en attente jusqu'à ce que l'administrateur de certification vous valide votre demande.

Acceptation de la demande par l'autorité de certification

Avec l'outil de gestion des certificats vous pouvez valider/rejeter la demande de certificat

Vous pouvez à ce stade Valider ou rejeter le demande. Cette délivrance est lourde de signification et la procédure pour valider un certificat doit être bien définie.

je vous engage à consulter les notes de UREC sur la certification : http://www.urec.fr/igc/Certifs_CNRS.html

une fois validé le certificat est disponible pour l'utilisateur et se retrouve dans le container "Certificats délivrés".

Récupérer le certificat avec son Explorateur Internet (IE6)

Le demandeur doit revenir avec le même explorateur rechercher son Certificat en se connectant au serveur de certificat et en sélectionnant "Vérifier un certificat en attente"

Soit vous aurez une réponse positive et vous pourrez installer ce certificat ; soit votre certificat a été refusé par l'autorité de certification et vous pouvez savoir pourquoi en téléphonant à l'administrateur.

Déplacer le Certificat vers le conteneur de  l'ordinateur local

En cliquant sur Installer ce certificat vous allez récupérer le Certificat dans le conteneur utilisateur personnel.

Vous allez devoir le transférer sur le compte de l'ordinateur Serveur Windows 2000. Il ne peut y avoir qu'un seul certificat serveur par serveur.

Pour déplacer le certificat serveur il faut créer 2 console de gestion des certificats l'une pour l'ordinateur local, l'autre pour l'utilisateur puis exporter le certificat serveur qui se trouve dans le conteneur Certificat personnel de l'utilisateur pour l'importer dans le conteneur Certificats personnel de l'ordinateur local.

Création d'une console MMC pour la gestion des certificats Ordinateur local

Exporter le Certificat avec sa clé privée. au moment de l'export mettre un mot de passe

Importer le Certificat dans la console Certificats personnel de l'ordinateur local

 

Page Up Updated 27 août, 2004 Hervé Chaudret
C.N.R.S.

 -   Home   -  News   -   Conseils   -  Sécurité   -  Mise à jour   -   Liens   -  Accès   -

C.N.R.S.