Prélable
Pour installer un certificat sur un serveur ISA, il vous faut tout d'abord installer le certificat sur le serveur IIS que vous avez utilisé pour faire la demande de certificat.
Suivez les instructions de cette page
 Installer un certificat Microsoft IIS5 ou IIS6
pour récupérer le certificat et l'importer puis revenez sur cette page ensuite.
A présent, votre certificat doit être visible dans IIS: utilisez le bouton Afficher le certificat pour vérifier.
Si vous n'avez pas suivi notre méthode d'installation automatique, assurez-vous d'avoir installé le certificat intermédiaire éventuellement nécessaire.
Si votre ISA n'est pas sur la même machine, fabriquez un fichier .pfx de transport de la clef privée et du/des certificat(s) en suivant ces instructions:
 Sauvegarder votre certificat IIS5 ou IIS6 et sa clef privée
puis revenez sur cette page ensuite.
|
Installation sur le serveur ISA
1- Lancez la MMC
Si votre IIS et ISA sont sur la même machine, allez directement à la section 3.
- Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
- Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
- Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
- Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
- Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
- Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure
2- Importez le fichier .pfx
Le fichier .pfx est le fichier contenant le certificat et la clef privée que vous avez préalablement préparé.
- Placez-vous sur Certificats Personnels
- Faites un clic droit, choisissez Toutes les tâches puis Importer
- Un assistant se lance. Sélectionnez le fichier du certificat à importer.
- Valider ensuite les choix par défaut
- Vérifiez que votre certificat est apparu dans la liste et que les certificats intermédiaires et racine sont dans leur dossier respectif. Si ce n'est pas le cas, rangez les dans les bons dossiers, en n'hésitant pas à remplacer un certificat existant.
3.1- Configurez ISA Server 2000
- Ouvrez ISA Manager
- Clic-droit sur le serveur qui va gérer la connexion entrante, puis Propriétés
- Cliquez sur l'onglet Incoming Web Requests
- Choisissez l'adresse IP ou toutes les IP qui correspondent à ce service
- Cliquez sur Editer
- Cliquez pour activer l'utilisation d'un certificat serveur
- Cliquez sur Sélectionner
- Choisissez le certificat que vous venez d'importer
- Cliquez sur OK
- Sélectionnez Activer SSL
- Dans le dossier Publication, cliquez sur Web Publishing Rules
- Double-cliquez sur la règle de publication qui va router le trafic SSL.
- Dans l'onglet Bridging, pour Redirect SSL requests as activez select HTTP requests (terminate the secure channel at the proxy)
- Cliquez sur OK
Redémarrez le serveur ISA.
3.2- Configurez ISA Server 2004
- Ouvrez Gestion ISA Server
- Cliquez sur Stratégie de pare-feu
- Dans le volet d'informations Stratégie de pare-feu, dans l'onglet Tâches, sélectionnez la publication que vous souhaitez (par exemple Publier un serveur de courrier). L'Assistant Nouvelle règle de publication de serveur se lance.
- Sur la page Bienvenue de l'Assistant, indiquez le nom de la règle et cliquez sur Suivant.
- Sur la page Sélectionnez éventuellement le type d'accès (OWA)
- Sur la page Mode de pontage, sélectionnez les parties du chemin de communication qui seront sécurisées. Normalement il s'agit de la communication entre le client (sur internet) et le serveur ISA.
- Sur la page Spécifiez le serveur de courrier Web, entrez le nom ou l'adresse IP du serveur interne.
- Sur la page Informations sur les noms publics, indiquez quelles demandes seront reçues par le serveur ISA et transmises au serveur. Sous le nom de domaine, si vous sélectionnez Tout nom de domaine, toute demande qui est résolue pour l'adresse IP du port d'écoute Web externe du serveur ISA sera transmise au serveur. Si vous sélectionnez Ce nom de domaine et fournissez un nom de domaine spécifique, par exemple mail.entreprise.fr, en supposant que ce domaine soit résolu pour l'adresse IP du port d'écoute Web externe du serveur ISA, seules les demandes pour https://mail.entreprise.fr seront transmises au serveur.
- Sur la page Sélectionnez le port d'écoute, spécifiez le port d'écoute Web qui écoutera les demandes de pages Web à rediriger vers le serveur Web, puis cliquez sur Suivant. Si vous n'avez pas défini de port d'écoute Web, cliquez sur Nouveau et suivez les instructions ci-dessous pour en créer un.
- Sur la page Bienvenue de l'Assistant Nouveau port d'écoute Web, tapez le nom du nouveau port d'écoute, par exemple, Port d'écoute sur le réseau externe pour la publication, puis cliquez sur Suivant.
- Sur la page Adresses IP, sélectionnez le réseau qui écoutera les demandes Web. Étant donné que Microsoft ISA Server devra recevoir les demandes provenant du réseau externe (Internet), le port d'écoute devra correspondre aux adresses IP de la carte du réseau externe de Microsoft ISA Server. Par conséquent, sélectionnez Externe, puis cliquez sur Suivant.
- Puisque vous n'envisagez d'écouter que les demandes SSL (comme il est conseillé), sur la page Spécification de port, désactivez l'option Activer HTTP et activez l'option Activer SSL. Sélectionnez SSL (Secure Socket Layer), vérifiez que le numéro du port SSL est 443 (paramètre par défaut) et indiquez le nom du certificat dans le champ Certificat.Cliquez sur Suivant.
- Sur la page Fin de l'Assistant Nouveau port d'écoute Web, vérifiez les paramètres et cliquez sur Terminer.
- Sur la page Sélectionnez le port d'écoute, cliquez sur Suivant.
- Sur la page Ensembles d'utilisateurs, l'option par défaut Tous les utilisateurs est disponible. Cette option permet aux utilisateurs authentifiés du réseau externe d'accéder au serveur. Pour limiter l'accès au serveur à certains utilisateurs, servez-vous pour cela du bouton Supprimer pour supprimer tous les utilisateurs et du bouton Ajouter pour ouvrir la boîte de dialogue Ajouter des utilisateurs, dans laquelle vous pouvez ajouter l'ensemble d'utilisateurs auquel la règle s'applique. La boîte de dialogue Ajouter des utilisateurs donne également accès à l'Assistant Nouvel ensemble d'utilisateurs par le biais de l'élément de menu Nouveau. Une fois que vous avez sélectionné l'ensemble d'utilisateurs, cliquez sur Suivant.
- Sur la page de fin de l'Assistant Nouvelle règle de publication de serveur de courrier, faites défiler la configuration de la règle pour vérifier que celle-ci est correcte, puis cliquez sur Terminer.
- Dans le volet d'informations de Microsoft ISA Server, cliquez sur Appliquer pour appliquer les modifications que vous avez effectuées. L'application des modifications prend quelques instants.
Néanmoins il faut parfois redémarrer complètement la machine pour que cela soit bien pris en compte.
|
FAQ TBS-certificats : 
RPC over HTTPS et ISA 2006 et Wildcard