Installer un fichier pfx avec Microsoft IIS8.X/10.X et Windows Serveur 2012/2016

Import du certificat

Attention : il ne faut pas importer le certificat PFX via IIS car les chaînes de certification ne sont pas gérées par son dialogue d'import.

• Ouvrez l'outil de lancement de Windows en saisissant Run depuis le Menu démarrer ou à l'aide du raccourci clavier Win+r. Saisissez en suite mmc puis cliquez sur OK.
  
  
• Cliquez sur le menu File puis sur Add/Remove Snap-in.
  
  
• Cliquez Certificates puis sur Add.
  
  
• Sélectionnez votre type de compte (Windows) actuel puis complétez les informations demandées en fonction du type de compte.
  
  
• Validez ensuite en cliquant sur OK.
  
  
• Vous pouvez maintenant dérouler le menu Certificates pour pouvoir trouver le store qui devra contenir votre certificat. Sélectionnez son sous-dossier Certificates. Faites ensuite un clic droit dans la partie centrale de la fenêtre et sélectionnez l'option All tasks - Import.
  
• Cliquez sur Next.
  
  
• Sélectionnez votre fichier pfx. Attention, la boite de dialogue tente de trouver par défaut un autre type de fichier. Cliquez ensuite sur Next.
  
  
• Saisissez le mot de passe protégeant le certificat. Faites attention à ce que la case Mark this key as exportable. This will allow you to back up or transport your keys at a later time. soit bien cochée. Sans cette case, il sera impossible d'exporter la clé par la suite.
  
  
• Sélectionnez le store qui devra contenir le certificat. Il est très fortement recommandé de cocher la case Automatically select the certificate store based on the type of certificate afin de pouvoir distribuer tous les éléments de la chaîne de certification dans les stores adéquats.
  
  
• Confirmez l'import du certificat en cliquant sur Finish.
  
  
  

Lier le certificat

• Dans le Internet Information Services (IIS) Manager, sélectionnez votre site.
  
  
• Sélectionnez l'option Bindings du menu Actions situé sur la droite de la fenêtre.
  
  
• Sélectionnez ensuite Add
  
  
• Sélectionnez ensuite le protocole HTTPS ainsi que le certificat ajouté précédemment.
  
  

Recommandations de sécurité

• Nous vous recommandons de désactiver les protocoles SSLv2 et SSLv3.
• Nous vous recommandons l'activation d'HSTS (configuration iis).
• Pour limiter les risques de sécurité liés à la configuration de Diffie-Helman et à la faille de sécurité Logjam, nous vous recommandons de configurer les Cipher Suites de IIS. Pour plus d'information, consultez la documentation ainsi que cette page de documentation Microsoft ainsi que les recommandations mozilla liées à la compatibilité. (à utiliser à titre indicatif, ces dernières n'étant pas compatibles avec IIS, contrairement aux deux liens précédents).
• Nous vous recommandons aussi de désactiver le chiffre RC4. Voir notre documentation.

Découvrez aussi IIS Crypto par NARTAC, un outil qui vous permettra de facilement faire vos modifications dans IIS (aussi compatible IIS6)

Il existe également un script powershell permettant d'appliquer toutes ces recommandations de sécurité : lien externe.

Voir aussi :

• Exporter un certificat au format PKCS#12 (.pfx/.p12) sur un serveur Microsoft (IIS8.X/10.X / Windows 2012/2016)
• Générer un CSR avec Microsoft IIS8.X/10.X et Windows Serveur 2012/2016
• Installer un certificat avec Microsoft IIS8.X/10.X et Windows Serveur 2012/2016