Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Installer un certificat Microsoft IIS7

Vous avez reçu votre certificat par email. Gardez cet email sous la main.

1- Récupérez le certificat sur votre serveur

Téléchargez le fichier global (.p7b) indiqué dans l'email de livraison sur votre bureau.

Attention: si vous utilisez le certificat au format X509 (.cer) vous devrez ensuite installer les certificats intermédiaires et racine à la main. Il est plus rapide de suivre cette NOUVELLE procédure d'installation.

2- Importez le certificat

  • Ouvrez le nouvel outil d'administration Internet Information Services. Sélectionnez le Serveur Web concerné dans l'arbre sur la gauche. Double-cliquez sur l'icone Certificats Serveur (Server Certificates) sur la gauche.
  • Dans le panneau Action, cliquer sur Finaliser une demande de certificat ("Complete Certificate Request...").




  • Dans la boite de dialogue qui apparait, appuyez sur Parcourir, mettez le filtre à *.* et choisissez le fichier où se trouve votre certificat téléchargé ci-dessus. Cliquez sur Ouvrir.
  • Donnez un nom unique à votre certificat (sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \:), puis OK.


A NOTER: il arrive souvent que IIS7 retourne une erreur disant 'Impossible de trouver une demande de certificat associée à ce fichier de certificat.' Malgré ce bug, le certificat est en général correctement importé, mais sans le nom unique: donc vérifiez s'il est apparu dans la liste. Si oui, continuez la procédure ci-dessous sans tenir compte de l'erreur.



3- Liez le certificat

  • Toujours dans l'outil d'administration Internet Information Services, sélectionnez le Site Web concerné dans l'arbre sur la gauche.


  • Dans le panneau Action, cliquer sur Liens ("Bindings")
  • Cliquez sur Ajouter ("New")
  • Sélectionnez le protocole "https"
  • Choisissez le certificat importé dans l'étape précédente


Messages d'erreurs Microsoft

Parfois, des messages d'erreurs de ce type peuvent apparaître lors de l'importation du certificat (.p7b ou .cer)
(Erreurs référencées par Microsoft ici :
http://support.microsoft.com/kb/959216/fr ).


  • « Impossible de trouver la demande de certificat associée à ce fichier de certificat. Une demande de certificat doit être effectuée sur l'ordinateur où il a été créé. »

  • «Une erreur s'est produite lors de cette opération Détails : CertEnroll::CX509Enrollment::p_InstallResponse : valeur de balise incorrecte ASN1 remplies. 0X8009310B (ASN:276) »
Cause

Ce problème se produit car le Gestionnaire IIS effectue une opération de recherche pour rechercher un nom convivial du certificat pendant l'installation. Toutefois, le code qui effectue cette opération de recherche absences dans ce cas, et il ne sait pas comment récupérer le nom convivial d'un certificat dans un fichier PKCS # 7. Par conséquent, l'opération de recherche échoue et vous recevez le message d'erreur.
MAIS, LE CERTIFICAT, DANS DE NOMBREUX CAS, EST TOUT DE MÊME IMPORTÉ

Résolution

Pour résoudre ce problème, ajoutez un nom convivial pour le certificat. Pour ce faire, procédez comme suit :


  • Cliquez sur Démarrer, sur exécuter, tapez certmgr.mmc et puis cliquez sur OK.
  • Recherchez le certificat (recherchez dans "personnel" / "certificats").
  • Cliquez droit sur le certificat, puis cliquez sur Propriétés.
  • Modifier le champ nom convivial.

4- Testez

Testez maintenant l'accès à votre site sécurisé avec IE et Firefox. Avec IE 7 et Firefox 3, attendez vous à un message d'erreur concernant la non-concordance des noms de site, puisque vous testez en local.

Sur votre page statut du certificat, dans votre espace client chez TBS INTERNET, Vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.

LES RECOMMANDATIONS ET CONSEILS DE TBS INTERNET

Pour des raisons de sécurité il est recommandé de :

Découvrez aussi NARTAC, un outil qui vous permettra de facilement faire vos modifications dans IIS (aussi compatible IIS6)

Il existe également un script powershell permettant d'appliquer toutes ces recommandations de sécurité : lien externe.



Cas de figures rencontrés

"SSL Handcheck erreur" ou le SSL ne démarre pas.

Vérifiez que le certificat est correctement installé, avec sa clef privée. Pour cela, utilisez la MMC de votre serveur windows. Il arrive parfois qu'un bug windows, lors de la copie / installation du certificat, ce dernier soit placé dans le "l'espace utilisateur / container user" au lieu de "l'ordinateur local / local computer".
Vous pouvez alors régler ce problème par une exportation locale puis ré-import dans l'ordinateur local.
http://support.microsoft.com/kb/939616/fr

Voir le support MICROSOFT ici : http://support.microsoft.com/kb/959216/fr

Pointeurs externes