Gérer les certificats

TLS utilise des certificats pour établir la confiance entre deux parties. Vous devez installer un certificat approprié sur chaque serveur fournissant un service et vous assurer que les machines se connectant à ce serveur font confiance à ce certificat. Voici les options disponibles pour la signature des certificats :

• Certificats auto-signés. Ceux-ci ne sont pas recommandés. Ils sont difficiles à gérer car vous devez copier manuellement ce certificat sur toute autre machine qui doit faire confiance à ce certificat.
• Autorité de certification d’entreprise. Si vous disposez déjà d’une infrastructure à clé publique (PKI), c’est normalement l’option la plus simple pour signer des certificats à utiliser entre les appareils internes.
• Autorité de certification publique. Cela exige que vous prouviez la propriété du domaine à l’autorité de certification. L’avantage est que les appareils clients non gérés sont normalement préconfigurés pour faire confiance aux certificats des principales autorités de certification publiques.

Créer un nouveau certificat

Suivez les politiques et procédures de votre organisation pour la création de certificats.

Créer un certificat à l’aide de l’autorité de certification Microsoft

Si l’autorité de certification Microsoft est intégrée à un domaine Active Directory ou à la forêt approuvée à laquelle les Delivery Controllers sont joints, vous pouvez acquérir un certificat à partir de l’assistant d’inscription de certificat du composant logiciel enfichable Certificats de la console MMC. L’autorité de certification Microsoft doit avoir un modèle de certificat publié adapté à l’utilisation par les serveurs web.

Le certificat racine est automatiquement déployé sur les autres machines du domaine à l’aide de la stratégie de groupe. Par conséquent, toutes les autres machines du domaine font confiance aux certificats créés à l’aide de l’autorité de certification Microsoft. Si vous avez des machines qui ne sont pas sur le domaine, vous devez exporter le certificat de l’autorité de certification racine et l’importer sur ces machines.

1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur.

2. Développez Personnel > Certificats, puis utilisez la commande du menu contextuel Toutes les tâches > Demander un nouveau certificat.

   

3. Cliquez sur Suivant pour commencer, puis sur Suivant pour confirmer que vous acquérez le certificat via l’inscription Active Directory.

4. Sélectionnez un modèle approprié tel que Serveur Web exportable. Si le modèle a été configuré pour fournir automatiquement les valeurs pour le Sujet, vous pouvez cliquer sur Inscrire sans fournir plus de détails. Sinon, cliquez sur Plus d’informations sont requises pour l’inscription à ce certificat. Cliquez ici pour configurer les paramètres.

   

5. Pour fournir plus de détails pour le modèle de certificat, cliquez sur le bouton fléché Détails et configurez les éléments suivants :

   Nom du sujet : sélectionnez Nom commun et ajoutez le FQDN du serveur.

   Nom alternatif : sélectionnez DNS et ajoutez le FQDN du serveur.

   

6. Appuyez sur OK.

7. Appuyez sur Inscrire pour créer le certificat. Il s’affiche dans la liste des certificats.

   

Créer une demande de certificat à l’aide d’IIS

Si IIS est installé sur le serveur, suivez les étapes suivantes :

1. Ouvrez le Gestionnaire des services Internet (IIS)
2. Sélectionnez le nœud du serveur dans la liste Connexions.
3. Ouvrez Certificats de serveur.
4. Dans le volet Actions, sélectionnez Créer une demande de certificat….
5. Saisissez les Propriétés du nom distinctif.
6. Sur l’écran Propriétés du fournisseur de services cryptographiques, laissez le fournisseur de services cryptographiques par défaut. Sélectionnez une taille de clé de 2048 ou plus.
7. Choisissez un nom de fichier et appuyez sur Terminer.
8. Chargez votre CSR auprès de votre autorité de certification.
9. Une fois que vous avez reçu le certificat, dans le volet Actions, sélectionnez Terminer la demande de certificat….
10. Sélectionnez le certificat, indiquez un Nom convivial et appuyez sur OK.

Il n’y a aucun moyen de définir le nom alternatif du sujet. Par conséquent, le certificat est limité au serveur spécifié à l’aide du nom commun.

Créer une demande de signature de certificat à partir du composant logiciel enfichable Certificats

À partir du composant logiciel enfichable MMC Certificats, vous pouvez créer une demande de signature de certificat. Cela génère un fichier que vous pouvez envoyer à une autorité de certification qui vous fournira le certificat. Vous devez ensuite importer le certificat pour le combiner avec la clé privée locale.

1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur.

2. Développez Personnel > Certificats
3. Sélectionnez Toutes les tâches > Opérations avancées > Créer une demande personnalisée.
4. Dans Avant de commencer, sélectionnez Suivant.
5. Sur l’écran Sélectionner la stratégie d’inscription de certificat, sélectionnez une stratégie existante appropriée, ou Continuer sans stratégie d’inscription.
6. Sur l’écran Demande personnalisée, si vous utilisez une stratégie d’inscription, choisissez un modèle approprié, si disponible, tel que Serveur Web exportable.
7. Sur l’écran Informations sur le certificat, développez Détails et sélectionnez Propriétés.
8. Dans la fenêtre Propriétés du certificat, sous l’onglet Général, entrez un nom convivial approprié.

9. Sous l’onglet Sujet :

   1. Sous Nom du sujet, sélectionnez Nom commun et entrez le FQDN du serveur. Vous pouvez entrer un caractère générique. Sélectionnez Ajouter.
   2. Sous Nom du sujet, ajoutez les valeurs appropriées pour Organisation, Unité organisationnelle, Localité, État, Pays.
   3. Sous Nom alternatif, sélectionnez DNS. Ajoutez le FQDN du serveur. Vous pouvez ajouter plusieurs FQDN de serveur ou un FQDN générique.

10. Sous l’onglet Extensions :

    • Sous Utilisation de la clé, ajoutez Signature numérique et Chiffrement de clé.
    • Sous Utilisation étendue de la clé (stratégies d’application), ajoutez Authentification du serveur et Authentification du client.

11. Sous l’onglet Clé privée.

    • Sous Sélectionner un fournisseur de services cryptographiques (CSP), choisissez un fournisseur approprié.
    • Sous Options de clé, sélectionnez une taille de clé appropriée. Pour les fournisseurs RSA, utilisez au minimum une taille de clé de 2048. Pour une sécurité accrue, vous pouvez choisir 4096, mais cela aura un léger impact sur les performances.
    • Sous Options de clé, sélectionnez Rendre la clé privée exportable.
12. Sélectionnez OK.
13. Sélectionnez Suivant.
14. Sélectionnez Parcourir et enregistrez votre demande.
15. Sélectionnez Terminer.
16. Téléchargez votre CSR vers votre autorité de certification.
17. Une fois que vous avez reçu le certificat, importez-le sur le même serveur afin qu’il soit lié à la clé privée.

Créer un nouveau certificat auto-signé

Un certificat auto-signé est créé lors de l’installation d’un contrôleur de livraison™ et de Web Studio. Vous pouvez générer un nouveau certificat auto-signé et l’utiliser pour remplacer celui existant.

Utilisation du gestionnaire IIS

Si IIS est installé sur le serveur, vous pouvez effectuer les étapes suivantes :

1. Connectez-vous au serveur en tant qu’administrateur.

2. Ouvrez le Gestionnaire des services Internet (IIS)
3. Ouvrez Certificats de serveur

4. Dans le volet Actions, sélectionnez Créer un certificat auto-signé.

   

5. Dans Créer un certificat auto-signé, entrez un nom pour le certificat et cliquez sur OK. Le certificat auto-signé est alors créé.

   

Utilisation de PowerShell

Vous pouvez utiliser PowerShell pour créer un certificat auto-signé :

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importer un certificat existant

Vous pouvez importer un certificat existant sur le serveur en utilisant l’une des méthodes suivantes.

Assistant d’importation de certificat

1. Double-cliquez sur le fichier PFX, ou faites un clic droit sur le fichier et sélectionnez Installer le PFX. Cela ouvre l’Assistant d’importation de certificat.

2. Pour Emplacement du magasin, sélectionnez Ordinateur local.

   

3. Saisissez le mot de passe si nécessaire.

   

4. Sélectionnez le Magasin de certificats. Pour les certificats de serveur, choisissez Personnel. S’il s’agit d’un certificat racine ou d’un certificat auto-signé que vous souhaitez approuver à partir de cette machine, choisissez Autorités de certification racines de confiance.

   

Utiliser la console Gérer les certificats de l’ordinateur

1. Ouvrez la console Gérer les certificats de l’ordinateur et accédez au magasin de certificats approprié. Pour les certificats de serveur, il s’agit normalement de Personnel > Certificats. Pour approuver un certificat racine ou auto-signé, choisissez Autorités de certification racines de confiance > Certificats.

2. Faites un clic droit sur le certificat et sélectionnez > Toutes les tâches > Importer….

   

3. Sélectionnez Parcourir… et sélectionnez le fichier.

4. Saisissez le mot de passe si nécessaire.

Utiliser PowerShell

Pour importer un certificat, utilisez l’applet de commande PowerShell Import-PfxCertificate. Par exemple, pour importer le certificat certificate.pfx avec le mot de passe 123456 dans le magasin de certificats personnel, exécutez la commande suivante :

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Pour importer un certificat racine de confiance, définissez le CertStoreLocation sur Cert:\LocalMachine\Root\.

Exporter le certificat sans clé privée

Pour exporter un certificat afin de pouvoir l’importer sur d’autres appareils pour qu’ils fassent confiance au certificat, vous devez exclure la clé privée.

1. Ouvrez la gestion des certificats de l’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

2. Dans le menu Action, sélectionnez Toutes les tâches, puis Exporter.

   

3. Choisissez Non, ne pas exporter la clé privée, puis appuyez sur Suivant.

   

4. Sélectionnez le format Binaire codé DER X.509 (.CER) (par défaut) et appuyez sur Suivant.

5. Saisissez un nom de fichier et appuyez sur Suivant.

   

6. Sélectionnez Terminer.

   

Exporter un certificat avec une clé privée

Pour exporter un certificat afin de pouvoir l’utiliser sur d’autres serveurs, vous devez inclure la clé privée.

1. Ouvrez Gérer les certificats d’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

2. Dans le menu Action, sélectionnez Toutes les tâches, puis Exporter.

   

3. Choisissez Oui, exporter la clé privée, puis sélectionnez Suivant.

   

4. Sous l’onglet Sécurité, saisissez un mot de passe, puis sélectionnez Suivant.

   

5. Saisissez un nom de fichier et sélectionnez Suivant.

   

6. Sélectionnez Terminer.

   

Convertir le certificat au format PEM

Par défaut, Windows exporte les certificats au format PKCS#12 sous forme de fichier .pfx qui inclut la clé privée. Pour utiliser le certificat sur un NetScaler® Gateway ou un serveur de licences, vous devez extraire le certificat et les clés privées dans des fichiers distincts au format PEM. Vous pouvez le faire à l’aide d’openssl.

Pour exporter le certificat au format PEM, exécutez :

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Il vous demandera le mot de passe existant et une nouvelle phrase secrète.

Pour exporter la clé au format PEM, exécutez :

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Approbation des certificats

• Si vous utilisez un certificat d’une autorité de certification publique, les appareils sont normalement préconfigurés avec les certificats racine.
• Si vous utilisez une autorité de certification d’entreprise, vous devez déployer le certificat racine sur tous les appareils qui doivent faire confiance à ce certificat. Si vous utilisez les services de certification Active Directory, les certificats racine sont également déployés sur toutes les machines du domaine à l’aide de la stratégie de groupe. Vous devez importer manuellement le certificat racine sur les machines non jointes au domaine, telles que vos passerelles NetScaler, ou les machines d’autres domaines.
• Si vous utilisez un certificat auto-signé, celui-ci doit être installé manuellement sur toute machine qui doit faire confiance au certificat.

Pour exporter un certificat racine auto-signé ou approuvé depuis Windows, consultez exporter le certificat sans clé privée.

Pour que Windows fasse confiance au certificat, vous devez importer le certificat dans le magasin Autorités de certification racines de confiance. Si vous utilisez PowerShell, entrez le magasin Cert:\LocalMachine\Root\.

Pour que NetScaler fasse confiance au certificat, commencez par convertir le certificat au format PEM, puis installer le certificat racine.