Discussion :

[peyau]

Bonjour,

Voilà, nous hébergeons un site web sur un de nos serveurs via IIS.

Jusqu'ici, j'ai fait la demande de certificat chez notre hébergeur (je sais pas si on peut appeler ça un hébergeur, vu qu'on héberge le site chez nous, mais il fallait passer par quelqu'un pour avoir un nom de domaine), j'ai bien reçu le certificat et je l'ai intégré dans la liste des certificats de serveur, jusqu'ici pas de soucis.
(Quoique, il y a juste que le "magasin de certificat" de ce certificat est "Personnel", et pas "Hébergement web", je ne pouvais pas le mettre en hébergement web, car un message d'erreur m'en empêchait. Est-ce un soucis qu'il soit en "personnel" et pas en "hébergement web"?)

A côté de ça, j'ai effectué la liaison de ce certificat au site web en question (sur le port 443 en HTTPS).

Le problème que je rencontre maintenant, est que lorsque je me connecte au site web, il se connecte toujours en HTTP, et pas en HTTPS. Je peux accéder à la page en HTTPS en tapant l'adresse manuellement, mais ce n'est pas ce que j'attends.
J'ai tenté de faire une redirection HTTP, mais je me retrouve avec une erreur sur le navigateur "TOO MANY REQUESTS", il redirige en boucle et provoque une erreur que je n'arrive pas à corriger.
J'ai aussi tenté de passer par l'hébergeur pour faire une redirection mais ça ne fonctionne pas (pour ça, je suis en train de voir quoi avec eux)

En plus de ça, lorsque je me connecte en HTTPS, dans le cadenas en haut, j'ai un petit message : "Votre connexion n'est pas totalement sécurisée. Ce site web possède du contenu non sécurisé (tel que les images)".
Et lorsque je fais un SSLChecker, il ne détecte aucun certificat SSL.

Je suis un peu perdu et je ne sais pas quoi faire, tout ce que j'essaye de faire se solde par un échec et je n'ai plus d'idées.

Sauriez-vous m'orienter?

Je vous remercie.

[peyau]

Bon... il semblerait que pour la redirection ça fonctionne.

Si quelqu'un a le même problème, voici l'article que j'ai consulté : https://www.namecheap.com/support/kn...-http-to-https
(ceux qui connaissent, pourriez-vous me dire si c'est suffisant et que ça ne causera pas d'erreurs?)

Par contre je bloque toujours sur ce message "Votre connexion n'est pas totalement sécurisée...". (D'ailleurs, je viens de m'apercevoir que ce message n'apparaissait que sur certaines pages...)
Et un SSL checker ne détecte toujours pas de certificat SSL.

[A&Nexus]

Bonsoir,

Ce module revient souvent quand tu veux faire des URL Rewriting à la Apache.
Ensuite si tu veux juste rediriger simplement tout HTTP vers HTTPS sans condition le module de Base dans IIS peut suffir dans "Redirection HTTP". Il te faudra peut être installé la fonctionnalité IIS RedirectionHTTP avant si elle n'est pas déjà installée.

Par défaut il te gardera tout ce qu'il y a après dans l'URL mais tu peux le changer dans les options (deux options sont dispo).


Pour ton autre question tu dois avoir du mixte HTTP/HTTPS dans le contenu de ton code source.
Cela peut être par exemple ta page en HTTPS avec un lien CSS ou une image en HTTP.

[peyau]

Bonjour,

En fait, il y a de gros problèmes maintenant.

Le site est seulement accessible en interne. Depuis le wan, on ne peut plus accéder au site via le nom de domaine (on peut y accéder via l'adresse ip publique uniquement), sinon ça retourne des messages d'erreur et des pages introuvables.
Je suis en train de voir quoi avec l'hébergeur, mais bon, jusqu'ici ils ne servent pas à grand chose.

Sinon pour la redirection HTTP, c'est ce que j'avais fait, mais ça retournait un message d'erreur "ERR_TO_MANY_REQUESTS", parce que ça redirige en boucle vers le même URL.
J'ai d'ailleurs toujours ce message d'erreur lorsque j'essaye de me connecter au serveur depuis le WAN, en HTTP, alors que plus aucune redirection n'est faite.

J'en arrive à un point où je suis complètement bloqué. Sans compter que les agents qui veulent accéder au site depuis le réseau interne ont parfois un message "Autoriser le certificat SSL...", et vu qu'ils ne sont pas à l'aise avec ça, je dois aller le faire sur leur PC. Ou encore, il y a des problèmes de cache sur les navigateurs, et en voulant accéder au site web, en interne toujours, ça reste sur une page blanche jusqu'à ce que j'aille vider le cache du navigateur manuellement, ce qui est gênant quand même...

Mais bon, ça arrive...

[A&Nexus]

La comme ça c'est un peu touchy.
Il faudrait voir qu'elles sont les liaisons dans IIS sur les IPs et noms de domaines.

Tu dis que depuis l'extérieur avec le hostname ça ne fonctionne pas et que ça affiche des erreurs.
Est-ce que tu penses que c'est des erreurs IIS (au moins comme ça on est sûr que tu arrive bien sur le serveur IIS) ?

Après ca dépend aussi des règles de rewriting qui bloque peut être avec le hostname ou qui ne sont pas configurés correctement.

[peyau]

Bonjour,

Non je ne pense pas que ce soit des erreurs liées à IIS.

J'ai demandé de l'aide à plusieurs personnes avec qui on travaille (même si elles ne sont pas directement liées à ça)

Il est probable que le nom de domaine ne pointe plus vers l'adresse IP publique et donc le nom de domaine ne renvoie vers rien d'existant...

J'ai eu ma réponse quotidienne de notre hébergeur, je dois maintenant attendre demain pour savoir s'ils voient de quoi je parle et si c'est possible de rectifier le tir.

[A&Nexus]

Il est probable que le nom de domaine ne pointe plus vers l'adresse IP publique et donc le nom de domaine ne renvoie vers rien d'existant...

Oui c'est probablement cela

[peyau]

On est d'accord que pour ça, je dois ajouter dans la zone DNS quelque chose du genre:
@ 10800 IN A x.x.x.x (qui représente l'adresse ip publique du serveur)

Si c'est bien ça, est-ce que la modification est instantanée?

Merci

[A&Nexus]

Oui c’est quelque chose comme ça .
La propagation peut prendre 24h

[peyau]

Bon bon bon...

"@ 10800 IN A x.x.x.x" n'était pas suffisant, il fallait que je mette "www 10800 IN A x.x.x.x". Sans compter qu'il y avait une valeur "www 10800 IN CNAME x.x.x.x" qui pointait vers l'adresse IP de l'hébergeur (alors que je ne l'ai pas ajouté) que je devais supprimer.
L'hébergeur n'a pas été capable de m'expliquer pourquoi le sous-domaine ne pointait plus vers l'adresse IP publique de notre serveur.

J'en reviens donc à la question initiale maintenant.

Manuellement, je peux accéder à notre site en HTTPS. Il me suffit de faire une redirection (j'ai compris comment la faire je pense).
Par contre, l'hébergeur m'indique que j'ai récupéré le certificat au format .crt, mais que je dois en plus de ça me procurer le certificat intermédiaire (qui se trouve au même endroit que là où j'ai récupéré le certificat .crt), et utiliser la clé privée.
Mais je ne vois pas où je dois utiliser le certificat intermédiaire, ni où je dois utiliser/trouver cette clé privée...

Si jamais vous sauriez m'aider...
Je vous remercie.



EDIT :
Sinon, j'ai suivi ce tuto :
https://www.sslshopper.com/article-i...8-iis-7.0.html

Mais là je bloque au point où il faut installer le certificat intermédiaire.
Déjà, lorsque je clique sur "télécharger le certificat intermédiaire" sur l'interface de l'hébergeur, ça m'ouvre 2 certificats en brut dans un nouvel onglet.
Donc j'ai quelque chose comme :
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----

Comment est-ce que je peux m'arranger pour avoir ça dans un format de fichier qui me permettrait de l'installer sur le serveur?
Et est-ce que je dois laisser les 2 certificats dans le même fichier? (Je pense que ça reprend le CSR et le contrat principal)

Merci


2ème EDIT:
Un clic droit -> Enregistrer sous... sur le lien du contrat intermédiaire m'a permis de le télécharger au format .pem
Une fois sur le serveur, j'ai modifié l'extension par .crt (ça m'avait l'air compatible), et j'ai installé le certificat comme sur le tuto ci-dessus.

Ça m'a l'air de fonctionner... (j'ai aussi ajouté une réécriture d'URL sur le serveur, pour que la redirection HTTP -> HTTPS fonctionne)
Y a-t-il un moyen de vérifier que tout fonctionne correctement, de vérifier que le certificat SSL a correctement été installé sur le serveur? Car j'ai surtout bidouillé...

Je vous remercie