none
Certificats pour serveur web RRS feed

  • Question

  • Bonjour à tous,

    N'étant pas très familier avec cet environnement de certificats Windows, je souhaitais vous exposer mon problème et aimerais que vous m'apportiez des réponses et sur le fonctionnement également, afin d'éviter de vous embêter à nouveau. :P

    Nous avons à disposition un WS2012R2, qui fait office de serveur d'autorité de certification. 

    Nous venons d'installer une application GED sur un WS2016 qui pointe ainsi : "   http://ws2016/ged    "  (en gros)

    J'ai la possibilité de basculer http vers https et j'ai deux solutions : 

    - l'application GED permet de générer un certificat auto signé, dans ce cas que faire ? 

    - générer moi même un certificat depuis mon WS2012 et dans ce cas également, comment faire ? 

    Mon objectif étant que l'ensemble de mes utilisateurs puissent accéder à l'interface GED en https sans avoir ce "votre connexion à ce site n'est pas sécurise".

    Merci à tous pour votre aide et vos éclaircissements. :) 

    mercredi 26 février 2020 09:45

Réponses

  • Ecoutez, j'ai recréé le certificat auto signé par l'appli en mettant le CN = XXXGED01 et en SAN = XXXGED01.CDML. 

    Je l'ai fait certifié par notre serveur d'autorité et le problème est résolu.

    Merci bien!

    • Marqué comme réponse MrPlouf jeudi 27 février 2020 14:58
    jeudi 27 février 2020 14:01

Toutes les réponses

  • Bonjour MrPlouf

    Le principe est simple :

    • Génération d'un CSR (Certtificate Signing Request)
    • Envoi dudit CSR à ton CA
    • Qui te retourne un Certificat en bonne et due forme.
    • Ne reste plus qu'àl'intaller sur ta machine

    2 liens (les premiers qui me sont tombés sous la main)

    https://www.tbs-certificats.com/FAQ/fr/windows-csr-mmc.html

    https://www.wistee.fr/generer-csr/windows-server-iis8.html

    cordialement

    Olivier

    mercredi 26 février 2020 15:41
  • Salut,

    Tu peux demander un certificat par le magasin de certificat local avec certlm, et personnalisé le nom de ton server web, ensuite tu l'intgre à ton site web (j'imagine IIS).

    mercredi 26 février 2020 16:33
  • Bonsoir,

    qu'entends-tu par "qui fait Office de serveur d'autorité de certification"?

    Le service d'autorité est installé ou n'est pas installé?

    *) Si l'autorité n'est pas installée, tu as plus vite fait de générer un certificat autosigné dans l'application GED.

    Ensuite, "il te suffit" de publier ce certificat (partie publique) sur toutes les machines clientes dans les AUTORITES RACINES. (Le certificat généré est sa propre autorité)

    -> Cette opération peut être faite par stratégie, si toutes les machines sont intégrées à un domaine.

    Sinon, il faudra ajouter manuellement le certificat (dans les autorités) sur le serveur GED lui-même, puis sur toutes les machines clientes de l'application GED.

    *) Si l'autorité est installée (et bien configurée), on peut demander un certificat à partir du serveur GED à travers le réseau. Sinon, il va falloir générer une demande manuellement, la valider sur le serveur d'autorité, et là, c'est un peu plus compliqué.

    L'important est que le nom (CommonName=CN) configuré corresponde au nom que vont utiliser les clients de l'application GED.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    mercredi 26 février 2020 18:26
  • qu'entends-tu par "qui fait Office de serveur d'autorité de certification"?

    il me semble qu'il voulait dire que le CA est deja installé, au dela de voir sil est configuré ou pas, ca c'est une autre histoire hhhh je sais pas pourquoi la plupart des boites meme les grandes ou les admins eux meme, n'arrivent pas a gerer les CA, ils se contentent de l'installer genre ca va elle est la, la plupart du temps le pki est meme en SHA1 et cest tout !!!


    mercredi 26 février 2020 18:52
  • Bonjour à tous,

    Dans un premier temps, je tenais à vous remercier pour vos réponses. 

    @Thierry DEMAN-BARCELÒ
    Mon WS2012R2 est un serveur d'autorité de certification, le rôle y est bien installé. 

    @M dakhama
    Je suis un administrateur réseau à la base, je reprends toute l'infra système désormais. J'essaie de faire au mieux, c'est bien pour cela que je suis ici, pour essayer de faire les choses correctement. 

    L'application GED est installé sur un serveur classique, il n'y a pas le rôle de IIS. Cette application a la possibilité de me générer un CSR. Je sélectionne par la suite ce fichier depuis mon serveur d'authentification et ce dernier me renvoie ce message, au moment de "soumettre une nouvelle demande", ceci : 

    Que le fichier soit en .csr/req/txt, le problème est identique. 

    jeudi 27 février 2020 07:16
  • Bonjour,

    il est indispensable de spécifier un "template" pour indiquer le type de certificat à obtenir.

    Voici un exemple de demande (à utiliser sur le serveur d'autorité) en ligne de commande:

    certreq -attrib "CertificateTemplate:webserverssl" -submit RequestCert.req

    Le template "webserverssl" doit correspondre au nom court (ou long) d'un modèle de certificat "déployé" (Autorisé) dans la console d'autorité.

    Si la requête est acceptée, un nom de fichier de sortie sera demandé. Ce sera la partie publique du certificat qui devra être importé sur l'ordinateur qui a émis/généré la demande.

    A bientôt


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 27 février 2020 07:36
  • Bonjour Thierry,

    Merci pour votre réactivité. 

    J'ai donc créé un .Req au travers de la procédure suivante (https://www.tbs-certificats.com/FAQ/fr/windows-csr-mmc.html) avec le CN, etc... puis j'ai exécuté ta commande en y modifiant le nom du modèle et mon nom de fichier. Cela m'a généré un .cer

    Je dois installer ce dernier sur le serveur GED et le déployer sur mes machines clientes, c'est bien cela ?

    Merci par avance,

    jeudi 27 février 2020 07:49
  • Il faut l'importer uniquement sur le serveur GED.

    Sur les autres ordinateurs (clients), c'est ton autorité (racine) qui doit apparaître dans les autorités racines.

    Si le serveur d'autorité a été configuré comme intégrée à AD (https://www.itpro.fr/dns-integre-a-active-directory-autorite-et-replication/), l'autorité sera déployée automatiquement sur toutes les machines membres de l'AD.

    Si l'autorité a été créée en mode "autonome", il faudra importer le certificat de l'autorité sur chaque station (ou le déployer par GPO).

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 27 février 2020 07:55
  • Elle a été intégrée à l'AD, de mémoire il me faut juste l'importer au serveur GED* pour le déploiement automatique sur l'ensemble des PCs. 

    Je teste, je vous tiens au courant. 

    Merci bien!


    • Modifié MrPlouf jeudi 27 février 2020 08:23
    jeudi 27 février 2020 07:57
  • Le certificat a bien été installé sur mon serveur GED et l'émetteur du certificat provient bien de mon serveur d'autorité. Cependant, j'ai toujours ce risque "potentiel" au travers du navigateur... 

    Le CN correspond bien à mon serveur, tout est OK pourtant. 

    Un avis ?

    Merci par avance,

    jeudi 27 février 2020 09:55
  • le risque est que le CA d'autorité n'est pas integré aux magasins des postes de tes clients,

    regardes un peu sils ont le certificat d'autorité dans leur magasins,

    une autre chose accedes tu sur le navigateur avec le meme nom du CN, car parfois on donne un CN et en URL on accède différemment.

    jeudi 27 février 2020 10:25
  • Le CA d'autorité est présent sur l'ensemble de mes postes clients. 

    Il est présent dans les autorités de certification racines de confiance. 

    Le CN indiqué dans le certificat "xxxged01" et l'URL utilisé est : "xxxged01/base/abab".

    Merci par avance pour vos aides,
    jeudi 27 février 2020 10:55
  • Bonjour,

    quel est le navigateur utilisé?

    S'agit-il bien de IE ou EDGE ?

    Sinon, d'autres navigateurs comme Firefox n'utilisent pas les autorités fournis par l'ordinateur.

    Quel est le message d'erreur/warning exact?

    A bientôt


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 27 février 2020 10:58
  • Thierrey à raison, firefox n'utilisait pas les certificats du magasins windwos, mais à partir d'une certaine version en modifiant un fichier de config dans firefox, on le force à utiliser le magasins integré,

    essaies aussi d'ajouté comme CN: xxxged01/base/abab, tu as la possibilité d'ajouter plusieurs CN, et dis nous ton message d'erreur.

    jeudi 27 février 2020 11:59
  • J'utilise le navigateur Google Chrome, même fonctionnement que pour Firefox ? 

    Oui j'ai essayé initialement avec deux CN "XXXGED01" et "XXXGED01.YYY", résultat avec IE :

    Avec Chrome cependant : 

    En important manuellement le certificat sous Chrome, même résultat que la capture ci-dessus :

    Vraiment désolé que ça ne fonctionne pas.... :(

    Merci pour votre aide,

    • Modifié MrPlouf jeudi 27 février 2020 12:34
    jeudi 27 février 2020 12:29
  • Apparemment, le nom défini dans le certificat a une extension (.CDML).

    Donc, essayer https://xxxGED01.CDML/...

    Bien entendu, cela suppose que le ping  xxxGED01.CDML donne bien une adresse.

    Si vous utilisez un Proxy, veillez bien à exclure l'URL utilisée dans les exclusions du proxy.

    S'il n'y a pas de réponse, c'est que le service n'est démarré ou que le port 443 n'est pas celui utilisé par l'application.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 27 février 2020 13:18
  • CDML étant le nom de domaine de mon entreprise. 

    Que je ping XXXGED01 ou XXXGED01.CDML, le ping est fonctionnel. 

    Que je tente d'accéder à https://xxxged01/admin ou https://xxxged01.cdml/admin, le problème de certificat apparait toujours sous Chrome... 

    Le service GED utilise correctement le port 443, c'est paramétré dans l'application puis on voit bien que je peux y accéder... 

    Pas de proxy chez nous. 
    • Modifié MrPlouf jeudi 27 février 2020 13:30
    jeudi 27 février 2020 13:29
  • Essaies le sur IE, sûrement t'as généré un certificat sha1 et chrome a besoin de 256 et plus d'autres exigences.

    ton certificat devra fonctionné sur IE à 100%, tiens nous au courant. 
    • Modifié M dakhama jeudi 27 février 2020 13:40
    jeudi 27 février 2020 13:37
  • Ecoutez, j'ai recréé le certificat auto signé par l'appli en mettant le CN = XXXGED01 et en SAN = XXXGED01.CDML. 

    Je l'ai fait certifié par notre serveur d'autorité et le problème est résolu.

    Merci bien!

    • Marqué comme réponse MrPlouf jeudi 27 février 2020 14:58
    jeudi 27 février 2020 14:01
  • Pouvez-vous nous indiquer le contenu de la valeur CN=

    dans la ligne "Subject" (ou Objet) selon la langue.


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    jeudi 27 février 2020 14:03
  • tant mieux si le probleme est reglé, il n'est jamais evident de répondre aux problemes liés au PKI sans captures d'ecran, ou avec peu de détails, un grand merci à Thierry qui était aussi réactif.

    je pense le mieux c'est d’écrire un article ou orienter les gens vers un bouquin sur les PKI de windows (il me semble qu'il existe).



    • Modifié M dakhama jeudi 27 février 2020 14:08
    jeudi 27 février 2020 14:07
  • CN = XXXGED01 

    Mais ça y est, c'est résolu. :)

    Le SAN semblait être la source de mes problèmes, quand bien même étant précisé au travers du CN. 

    Merci à tous!

    jeudi 27 février 2020 14:08