Installation dun certificat Let's Encrypt pour un site Web hébergé par un serveur IIS sous Windows Server
II Qu'est-ce que Let's Encrypt
III Configurer un nom de domaine
IV Configurer les ports du firewall
V Télécharger l'application d'automatisation des tâches
VI Importation et installation du certificat SSL
VII CONCLUSION
I Introduction
Ce document va vous montrer comment installer facilement un certificat SSL sur un serveur IIS sous Windows Server. Nous allons d'abord voir quelles sont les prérequis obligatoires pour l'installation et la configuration dun certificat Let's Encrypt. Nous allons télécharger ensuite l'outil ACME sur github qui automatisera les tâches d'installation et de configuration de ce certificat.
II Qu'est-ce que Let's Encrypt
Let's Encrypt est une autorité de certification de création et de livraison de certificat SSL gratuit. Elle a été créée en 2015 et permet de sécuriser les sites web déployés sur la Toile en vue de proposer des sites entièrement sécurisés. Derrière Let's Encrypt on retrouve des acteurs réputés du Web et du réseau comme Cisco ou Mozilla ou encore OVH en France. Ce qui prouve la fiabilité de cette solution. Celle-ci s'adresse en particulier aux possesseurs de site web personnel ou association n'ayant pas assez d'argent pour obtenir des certificats auprès d'une autorité de certification payante.
Le processus de livraison s'appuie sur la validation de domaine. C'est-à-dire que le script d'automatisation va vérifier que le site appartient bien au propriétaire en déposant un fichier dans le dossier «.well-known».
III Configurer un nom de domaine
La première chose à faire avant d'installer un certificat SSL est de configurer un nom de domaine pour votre site web hébergé sur votre serveur IIS. Pour ce faire il faut configurer chez votre fournisseur de domaine une correspondance de type A entre le nom de domaine à définir et l'adresse IP publique avec laquelle on peut atteindre le serveur IIS.
Au sein de votre serveur, il faut ensuite configurer une liaison sur le port 443 avec le nom de domaine nouvellement configuré.
Il ne faut surtout pas couper la liaison sur le port 80, nous en aurons besoin par la suite pour la configuration du certificat SSL.
IV Configurer les ports du firewall
Pour pouvoir installer le certificat il faut absolument ouvrir le port 80 (http) du firewall pour que Let's Encrypt puisse accéder au dossier d'installation de votre site Web afin d'y déposer un fichier de vérification. En fait comme la plupart des installations de certificats SSL.
V Télécharger l'application d'automatisation des tâches
Il va falloir ensuite télécharger l'application en ligne de commandes win-acme sur le site Github à cette adresse : https://github.com/PKISharp/win-acme/releases.
Une fois télécharger, il faut juste décompresser l'archive dans un emplacement que vous aurez choisi.
VI Importation et installation du certificat SSL
Il suffit ensuite de lancer en tant quadministrateur l'application Letsencrypt, une fenêtre en ligne de commandes va apparaître comme ceci:
Nous pouvons voir que cette application nous permet de gérer très finement la création de nouveaux certificats, de renouveler les certificats, de révoquer des certificats, ou d'annuler des renouvellements.
Dans notre cas seul la première voire la deuxième commande de ce menu nous intéresse. En effet nous souhaitons juste dans un premier temps créer et importer ce certificat.
Il faut donc taper sur la touche «N» pour lancer le processus. Une fois ceci effectué un sous-menu apparaît vous demandant si vous voulez créer un seul certificat associé à une liaison dans IIS. Cest bien sûr notre cas de figure; donc il suffit d'appuyer sur la touche « 1 ». Ensuite un autre sous-menu apparaît vous affichant les liaisons qui sont disponibles pour la suite du processus. Il suffit de choisir le chiffre associé au site qui doit être sélectionné:
Une fois ce choix effectué l'application lance le processus de création avec une phase de vérification du site distant en déposant un fichier dans le dossier «.well-known» à la racine du dossier du site web en utilisant le protocole http. Cest pour cette raison quil faut laisser ouvert le port 80.
Une fois cette vérification effectuée, la création du certificat et son installation sont lancées. Suit ensuite la mise à jour de la liaison dans IIS sur le port 443.
Le programme crée ensuite une tâche planifiée en vue de la vérification pour le renouvellement du certificat. Si aucun message d'erreur n'apparaît durant le processus, l'installation du certificat est effective. Vous pouvez ensuite effectuer un test dans un navigateur pour voir si le cadenas apparaît bien dans la barre de navigation. Si c'est bien le cas, l'opération a réussi.
VII Conclusion
Nous avons vu à travers ce document une méthode très simple permettant d'installer un certificat pour un serveur IIS. L'application hébergée par Github permet de prendre en charge l'automatisation de toutes les tâches contraignantes. La solution Let's Encrypt peut être envisagée pour des sites web personnels mais aussi pour des sites Web interne d'entreprise et qui nont pas vocation à être diffusés à l'extérieur de l'entreprise.
