Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Authentification forte avec IIS et TBS X509 Sign&Login

Pour utiliser IIS avec l'authentification par certificat client, notamment pour faire du mapping de certificats vers un compte utilisateur, il faut préalablement importer le certificat racine correspondant aux certificats utilisateurs qui seront utilisés.

Pour utiliser les certificats TBS X509 Sign&Login, il faut importer le certificat "USERTrust RSA Certification Authority" sans signature croisée. Pour se faire :

  1. Sur votre serveur, lancez exécutable "mmc" (menu Démarrer, Exécuter, tapez "mmc" et OK).

  2. Cliquez sur Ficher, Ajout/Suppression de composants enfichables puis Bouton Ajouter ("File->Add/Remove Snap-in...")

  3. Choisissez le composant "Certificats" puis cliquez sur Ajouter.

  4. Choisissez le "Compte de l'ordinateur" ("Computer Account") puis l'Ordinateur Local et Terminer.

  5. Cliquez sur Fermer puis OK

  6. Cliquez sur le "+" à coté de Certificats (Ordinateur Local) "Certificates (Local Computer)"

  7. Cliquez sur le "+" à coté de "Certificats d'Autorités de Confiance" ("Trusted Root Certification Authorities")

  8. Clic droit sur le texte "Certificats"

  9. Choisissez Toutes les taches, Importer ("All Tasks->Import...")

  10. Grâce à l'assistant, importez le certificat "USERTrust RSA Certification Authority" disponible ici:
    USERTrust RSA Certification Authority.crt

  11. Cliquez sur le "+" à coté de "Certificats Intermédiaires d'Autorités" ("Intermediate Certification Authorities")

  12. Clic droit sur le texte "Certificats"

  13. Choisissez Toutes les taches, Importer ("All Tasks->Import...")

  14. Grâce à l'assistant, importez le certificat "TBS X509 CA persona 2" disponible ici: TBS X509 CA persona 2.crt

Une fois que ceci est fait, il faut configurer le site IIS pour qu'il requiert un certificat et filtre dessus. Voici par exemple pour autoriser tous les certificats émis par notre autorité TBS X509 CA Persona 2 à se connecter au site.

  1. Lancez IIS en passant par le Panneau de configuration, Outils d'administration, IIS ("Control Panel->Administrative Tools->Internet Information Service")

  2. Clic droit sur le site web concerné par l'authentification forte, puis Propriétés.

  3. Allez dans l'onglet Sécurité de Répertoire ("Directory Security")

  4. Dans Communications sécurisées ("Secure communications"), cliquez sur le bouton Éditer.

  5. Sélectionnez soit Accepter les certificats clients, soit Exiger un certificat client ("Accept client certificates" or "Require client certificates")

  6. Choisissez Activer la liste des certificats de confiance ("Enable certificate trust list" CTL)

  7. Choisissez créez ou éditer une liste existante.

  8. Lorsque la demande d'ajout d'un certificat apparaît, choisissez Ajouter via un fichier ("Add from File") et donnez le fichier correspondant à "USERTrust RSA Certification Authority" téléchargé plus haut.

Pour spécifier uniquement certains certificats émis par notre autorité, il faut utiliser la fonction de mapping d'IIS, par exemple pour sélectionner tous les certificats admis finement.

Si ce n'est pas déjà fait:

Ensuite testez l'accès. Bien qu'en théorie ce qui a été fait est suffisant, si cela ne marche pas (la fenêtre de sélection de certificat affiché par IE reste vide), il faut réaliser une opération supplémentaire! Installez une copie du certificat client obtenu (faites un fichier d'export pfx avec toute la chaîne) dans Internet Explorer du compte administrateur du serveur. Nous ne saurions expliquer à quoi cela sert, mais au final la sélection du certificat fonctionne après cela, quand elle ne fonctionnait pas initialement.

N'oubliez pas que pour un bon fonctionnement, le serveur IIS doit être capable de télécharger les CRLs des certificats de la chaîne de certification. Pour se faire, le serveur doit avoir un accès au protocole HTTP vers l'extérieur, au minimum vers les serveurs de CRL:

crl.tbs-x509.com
crl.tbs-internet.com
crl.comodoca.com
crl.comodo.net
crl.usertrust.com