Installer un fichier pfx avec Microsoft IIS8.X/10.X et Windows Serveur 2012/2016
Import du certificat
Attention : il ne faut pas importer le certificat PFX via IIS car les chaînes de certification ne sont pas gérées par son dialogue d'import.
- Ouvrez l'outil de lancement de Windows en saisissant Run depuis
le Menu démarrer ou à l'aide du raccourci
clavier Win+r. Saisissez en suite mmc puis cliquez
sur OK.
- Cliquez sur le menu File puis sur Add/Remove
Snap-in.
- Cliquez Certificates puis sur Add.
- Sélectionnez votre type de compte (Windows) actuel puis complétez les
informations demandées en fonction du type de compte.
- Validez ensuite en cliquant sur OK.
- Vous pouvez maintenant dérouler le menu Certificates pour pouvoir trouver le store qui devra contenir votre certificat. Sélectionnez son sous-dossier Certificates. Faites ensuite un clic droit dans la partie centrale de la fenêtre et sélectionnez l'option All tasks - Import.
- Cliquez sur Next.
- Sélectionnez votre fichier pfx. Attention, la boite de dialogue tente de
trouver par défaut un autre type de fichier. Cliquez ensuite sur Next.
- Saisissez le mot de passe protégeant le certificat. Faites attention à ce
que la case Mark this key as exportable. This will allow you to back up
or transport your keys at a later time. soit bien cochée. Sans cette
case, il sera impossible d'exporter la clé par la suite.
- Sélectionnez le store qui devra contenir le certificat. Il est très fortement recommandé
de cocher la case Automatically select the certificate store based on
the type of certificate afin de pouvoir distribuer tous les éléments de
la chaîne de certification dans les stores adéquats.
- Confirmez l'import du certificat en cliquant sur Finish.
Lier le certificat
- Dans le Internet Information Services (IIS) Manager,
sélectionnez votre site.
- Sélectionnez l'option Bindings du menu Actions situé sur la
droite de la fenêtre.
- Sélectionnez ensuite Add
- Sélectionnez ensuite le protocole HTTPS ainsi que le certificat
ajouté précédemment.
Recommandations de sécurité
- Nous vous recommandons de désactiver les protocoles SSLv2 et SSLv3.
- Nous vous recommandons l'activation d'HSTS (configuration iis).
- Pour limiter les risques de sécurité liés à la configuration de Diffie-Helman et à la faille de sécurité Logjam, nous vous recommandons de configurer les Cipher Suites de IIS. Pour plus d'information, consultez la documentation ainsi que cette page de documentation Microsoft ainsi que les recommandations mozilla liées à la compatibilité. (à utiliser à titre indicatif, ces dernières n'étant pas compatibles avec IIS, contrairement aux deux liens précédents).
- Nous vous recommandons aussi de désactiver le chiffre RC4. Voir notre documentation.
Découvrez aussi IIS Crypto par NARTAC, un outil qui vous permettra de facilement faire vos modifications dans IIS (aussi compatible IIS6)
Il existe également un script powershell permettant d'appliquer toutes ces recommandations de sécurité : lien externe.