Université Cadi Ayyad Faculté des Sciences Semlalia Département d’informatique LP. Réseaux, Sécurité et Systèmes Informatique Marrakech
Windows Server 2003 Site web sécurisé avec SSL
Réaliée par : Abdelhafid BERROUKHAM
Objectif : Mise en œuvre d'un site web sécurisé avec le protocole SSL et les certificats d'authentification.
Partie 1 : Introduction aux certificats et au protocole SSL 1.1. Les certificats Les certificats sont des documents signés qui font correspondre des clés publiques à d'autres informations telles qu'un nom ou une adresse de messagerie électronique. Ils sont signés par les Autorités de certification qui les délivrent. La signature d'une Autorité de certification garantit que la clé publique appartient bien à la partie qui la présente. Une Autorité de certification (CA, Certification Authority) est chargée de fournir et d'affecter des clés de cryptage, de décryptage et d'authentification. Elle distribue les clés en délivrant des certificats, qui contiennent la clé publique et un ensemble d'attributs. Une Autorité de certification peut délivrer des certificats pour un ordinateur, un compte d'utilisateur ou un service.
Partie 2 : Installation des services de certificats 1. Installation d'une autorité de certification privée Panneau de configuration, Ajout/suppression de programmes, Ajouter/supprimer des composants Windows - On coche la case Services de certificats
- Un message averti que le poste ne pourra pas être renommé, on accepte le en cliquant sur le bouton Oui :
- On sélectionne Autorité racine autonome et bouton Suivant, (avec Active Directory, on a racine d’entr
- On renseigne les informations d'identification de l'autorité de certification, soit : - Nom de l'autorité de certification : C5E11 - Organisation : r2si - Unité d'organisation : labo
- la durée de validité par défaut des certificats est 5 années 2 ans
- l'emplacement du stockage de la base de données des certificats est : C:\\WINDOWS\système32\CertLog On attend jusqu'à la termination de l’installation :
On accepter la demande de W2k d'arrêter le service IIS :
- On vérifie la présence de la nouvelle console dans nos outils d'administration, nommée Autorité de certification.
Partie 2 : Mise en œuvre d'un site web sécurisé. 1. Préparation On Choisie une adresse IP dans le même réseau que mon binôme.
On crée le répertoire suivant : C:\Sitesecurise, On crée dans le répertoire C:\Sitesecurise, un fichier texte Default.htm contenant les balises HTML et affichant le Message suivant : Bienvenue sur le site sécurisé de C5E11. On crée aussi le répertoire suivant : C:\certificat. comme la suivant :
On ajoute la ligne nécessaire dans le fichier C:\windows\sytem32\drivers\etc\hosts comme suivant :
2. Création d'un nouveau site Web Il faut commencer par arrêter le site Web par défaut. Dans la console Gestionnaire des services Internet, Bouton droit sur Site Web par défaut, sélectionner Arrêté Création : bouton droit sur le nom du serveur, Nouveau, sélectionner Site Web.
Pour la description, on met "Tp site sécurisé" :
on entre l’adresse IP de notre serveur :
pour le chemin d'accès on sélectionne C:\Sitesecurise : garder les options par défaut des autres écrans.
Et voila notre site qu’on a crée en cours d’exécution :
et pour le chemin d'accès on sélectionne C:\Sitesecurise : On teste notre site : http://localhost/default.html
Partie 3 : Mise en œuvre d'un site web sécurisé. 5. Demande d’un certificat du serveur Web - dans les propriétés du site web à sécuriser ("Tp site sécurisé")
- Onglet Sécurité de répertoire, bouton Certificat de serveur :
- On vérifie que Créer un certificat est sélectionné :
- On sélectionne Préparer la demande, mais ne pas l'envoyer maintenant :
- On tape un nom pour le certificat : sitesecurise et on laisse la valeur par défaut de la longueur de la clé de cryptage :
On saisie des renseignements sur notre organisation soit : Organisation : r2si Unité d’organisation : labo
- On saisie le nom de notre poste :
On saisie les informations gĂŠographiques :
- Bouton Parcourir pour sélectionner le répertoire C:\certificat et on conserve le nom par défaut du fichier :
jusqu'à maintenant on a terminer le processus de création d’un demande de certificat qui est enregistrée dans un fichier
6. Envoyer le fichier de demande de certificat à une autorité de certification de confiance Dans notre cas, nous gérons notre propre autorité de certification, le poste serveur Web a donc à la fois le rôle de demandeur de certificat, et le rôle de l'autorité de certification qui délivrera le certificat. Il faut commencer par arrêter le site "Tp site sécurisé" et démarrer le site Web par défaut. Bouton droit sur les sites, sélectionner Arrêté/Démarrer
On accède aux pages de l'autorité de certification : - Dans Internet Explorer, on tape l'adresse suivante : http://10.10.10.164/certsrv -puis on sélectionne Demander un certificat :
-On sélectionne Demande de certificat avancée :
- on sélectionne soumettre une demande en utilisant un fichier crypté en Base64 PKCS#10 :
la page suivant s’apparaître qui contient une zone de texte sur le quelle on vas copie le contenu de fichier certreq.txt
On ouvrir le fichier C:\certificat\certreq.txt :
En fait copier le contenu entier du fichier et coller le dans la partie Demande enregistrĂŠe de la page Web de demande de certificat :
on envoie la demande :
La demande de certificat a été reçue par l'autorité, l'administrateur de celle-ci doit maintenant, après vérification de l'identité du demandeur, émettre un certificat correspondant à cette demande.
7. Création du certificat par l'autorité de certification - Dans la console Autorité de certification, on ouvre le dossier demande en attente,
- Bouton droit sur la demande concernée, et on sélectionne Toutes les tâches et Délivrer,
- On vérifie la présence du certificat dans le dossier Certificats Délivrés :
8. Récupération du certificat pour le site sécurisé - Dans Internet Explorer, on tape l'adresse suivante : http://10.10.10.164/certsrv - on sélectionne Afficher le statut requête de certificat en attente :
- On sélectionne notre demande de certificat :
On Utiliser "Télécharger le certificat " pour récupérer le certificat :
- On enregistre le certificat dans le rĂŠpertoire C:\certificat
9. Contenu du certificat - Double cliquer sur le fichier C:\certificat\certnew.cer, qui correspond au certificat de notre site : onglet Général - la fonction de ce certificat est : garantit l'identité d'un ordinateur distant, - Délivré à S5 par C5E11 - Date de validité du certificat : 1 année à partir d'aujourd'hui
Onglet Détails - l'algorithme de signature est sha1RSA, - Renseignement sur l'émetteur : C5E11,r2si, labo, Maroc Marrakech ,Informatique - Algorithme et nombre de bits de la clé publique : RSA 512bits - les utilisations de la clé sont : Signature numérique, Non-répudiation, cryptage de la clé, Chiffrement des données - Algorithme d'empreinte numérique : sha1
10. Affectation du certificat au site sécurisé - Dans la console Gestionnaire des services Internet, dans les propriétés du site sécurisé, - Onglet Sécurité de répertoire, bouton Certificat de serveur :
On sélectionne Traiter la demande en attente et installer le certificat :
- A l'aide du bouton Parcourir, on sĂŠlectionne le fichier C:\certificat\certnew.cer :
-on vas vérifie le rôle du certificat : Authentification du serveur Il reste à définir une communication sécurisé avec SSL
- Bouton Modifier, cocher la case Exiger un canal sécurisé (SSL),
- les trois options pour les certificats clients sont : ignorer les certificats clients, accepter les certificats clients et Exiger les certificats clients - Ignorer les certificats clients, Accepter les certificats clients, Exiger les certificats clients
- dans l’onglet Site Web, on saisie dans le champ Port SSL, la valeur 443.
-il reste a arrêter le site Web par défaut et démarrer le site sécurisé qu’on a réalisé. Et voila le résultat final
Fin