[WS 2008 R2] Mise en place certificat SSL sur IIS7 [Résolu]

leogalland · 17/11/2010, 12h06

Bonjour,

j'ai installé un serveur windows 2008 r2 avec AD. (Contrôleur de domaine)
Les rôles sont DNS, IIS, Service de certificat AD et services de domaine AD.
Je possède un domaine en .fr (chez 1and1)

Je souhaite mettre en place un certificat SSL pour IIS7.
J'ai donc créé une requête de demande de certificat >> fichier req avec comme nom commun *.domaine.fr
J'ai "Terminé la demande de certificat" et je l'ai lié au port 443 de mon site par défaut.

Lorsque je me connecte à mon serveur web en SSL avec IE (ou FF) depuis un compte membre du domaine ou un compte extérieur au domaine mais toujours en local sur le réseau de l'entreprise, j'obtiens le message suivant : "Le certificat de sécurité de ce site Web présente un problème."

Je clique sur le lien "Poursuivre avec ce site Web (non recommandé). "
La barre d'adresse d'IE devient mauve et affiche un bouton "Erreur de certificat" + certificat non valide.

Même en enregistrant le certificat, j'obtiens toujours cette alerte.

Une différence de comportement tout de même :
Sur IE membre du domaine : Le navigateur me dit que ce certificat est conçu pour les rôle suivants >> Garantit l'identité d'un ordinateur distant.
Sur IE en dehors du domaine : le navigateur me dit qu'il n'arrive pas à vérifier ce certificat auprès d'une autorité de certification de confiance.

QUESTIONS :
- Ce comportement est il normal ?
- Comment faire pour ne plus avoir ces alertes.

J'espère avoir été assez clair dans ma description.
Je peux apporter des infos complémentaires si besoin.

Merci pour votre aide

Léo

Michaël · 17/11/2010, 20h34

Bonjour,
Le certificat a été signé par ton autorité de certification interne. Personne ne va y faire confiance (tant qu'elle n'est pas déclarée comme étant de confiance) donc les certificats que cette autorité aura signé n'auront aucune confiance de la part des clients externes à ton réseau.

J'imagine que tu as déployé ton certificat racine par gpo : ce qui fait que tes clients interne font confiance à ton autorité.
Pour les clients externes, il faut leur donner le certificat racine de ton autorité pour qu'ils l'ajoutent dans leur magasin d'autorités de confiance. Ils peuvent également ouvrir la chaine de certification pour voir le certificat racine et le déclarer comme étant de confiance.

Si tu cherches à éviter cela pour tous les clients, il faut passer par un organisme tel que Verisign (de confiance sur 100% des postes) qui va signer un certificat que tu leur aura soumis (c'est payant).

leogalland · 22/11/2010, 11h07

Merci pour cette explication,

j'ai effectivement exporter 2 certificats : un pour la racine et un de domaine.

En les importants sur les postes clients, le pb est résolu.

Je n'ai pas de 'clients' (au sens commercial) donc je peux distribuer mes certificats à mes collaborateurs.

Encore merci pour votre aide.

17/11/2010, 12h06	#1
leogalland Invité de passage Léopold GALLAND Inscription : novembre 2010 Messages : 5 Détails du profil Informations personnelles : Nom : Léopold GALLAND Localisation : France, Paris (Île de France) Informations forums : Inscription : novembre 2010 Messages : 5 Points : 1 Points : 1	Mise en place certificat SSL sur IIS7 Bonjour, j'ai installé un serveur windows 2008 r2 avec AD. (Contrôleur de domaine) Les rôles sont DNS, IIS, Service de certificat AD et services de domaine AD. Je possède un domaine en .fr (chez 1and1) Je souhaite mettre en place un certificat SSL pour IIS7. J'ai donc créé une requête de demande de certificat >> fichier req avec comme nom commun *.domaine.fr J'ai "Terminé la demande de certificat" et je l'ai lié au port 443 de mon site par défaut. Lorsque je me connecte à mon serveur web en SSL avec IE (ou FF) depuis un compte membre du domaine ou un compte extérieur au domaine mais toujours en local sur le réseau de l'entreprise, j'obtiens le message suivant : "Le certificat de sécurité de ce site Web présente un problème." Je clique sur le lien "Poursuivre avec ce site Web (non recommandé). " La barre d'adresse d'IE devient mauve et affiche un bouton "Erreur de certificat" + certificat non valide. Même en enregistrant le certificat, j'obtiens toujours cette alerte. Une différence de comportement tout de même : Sur IE membre du domaine : Le navigateur me dit que ce certificat est conçu pour les rôle suivants >> Garantit l'identité d'un ordinateur distant. Sur IE en dehors du domaine : le navigateur me dit qu'il n'arrive pas à vérifier ce certificat auprès d'une autorité de certification de confiance. QUESTIONS : - Ce comportement est il normal ? - Comment faire pour ne plus avoir ces alertes. J'espère avoir été assez clair dans ma description. Je peux apporter des infos complémentaires si besoin. Merci pour votre aide Léo
	00

17/11/2010, 20h34	#2
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 492 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 492 Points : 5 898 Points : 5 898	Bonjour, Le certificat a été signé par ton autorité de certification interne. Personne ne va y faire confiance (tant qu'elle n'est pas déclarée comme étant de confiance) donc les certificats que cette autorité aura signé n'auront aucune confiance de la part des clients externes à ton réseau. J'imagine que tu as déployé ton certificat racine par gpo : ce qui fait que tes clients interne font confiance à ton autorité. Pour les clients externes, il faut leur donner le certificat racine de ton autorité pour qu'ils l'ajoutent dans leur magasin d'autorités de confiance. Ils peuvent également ouvrir la chaine de certification pour voir le certificat racine et le déclarer comme étant de confiance. Si tu cherches à éviter cela pour tous les clients, il faut passer par un organisme tel que Verisign (de confiance sur 100% des postes) qui va signer un certificat que tu leur aura soumis (c'est payant). __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

22/11/2010, 11h07	#3
leogalland Invité de passage Léopold GALLAND Inscription : novembre 2010 Messages : 5 Détails du profil Informations personnelles : Nom : Léopold GALLAND Localisation : France, Paris (Île de France) Informations forums : Inscription : novembre 2010 Messages : 5 Points : 1 Points : 1	Résolu Merci pour cette explication, j'ai effectivement exporter 2 certificats : un pour la racine et un de domaine. En les importants sur les postes clients, le pb est résolu. Je n'ai pas de 'clients' (au sens commercial) donc je peux distribuer mes certificats à mes collaborateurs. Encore merci pour votre aide.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email