Avec IIS, vous pouvez renforcer la sécurité des sites Web en utilisant le protocole Secure Sockets Layer (SSL), une technologie de cryptage. SSL a été développé par Netscape Communications, et permet de sécuriser les communications sur l'Internet. SSL fonctionne à la couche de transport de Transmission Control Protocol / Internet Protocol (TCP / IP) protocol suite, et utilise la cryptographie à clé publique pour établir une session sécurisée SSL entre un serveur Web et le client. Quelques fonctionnalités fournies par SSL comprennent l'authentification, l'intégrité du message, et la confidentialité des données par cryptage.
Pour utiliser SSL dans IIS, le serveur Web doit obtenir un certificat numérique d'une autorité de certification (CA), et installer le certificat numérique ainsi. Un certificat numérique contient généralement un numéro de version qui identifie la norme X.509 version utilisée pour le certificat; le numéro de série du certificat de l'AC qui a émis le certificat, l'algorithme de signature identifiant qui définit le CA de l'algorithme utilisé pour la signature numérique de le certificat, la période de validité du certificat, l'entité à laquelle le certificat a été délivré; les utilisations du certificat, la clé publique, et l'emplacement de la liste de révocation de certificat (CRL).
Pour rendre utile ou de certificats de confiance, vous devez obtenir un certificat d'une entité de confiance, appelée autorité de certification (CA). Une autorité de certification (CA) est l'entité de confiance qui émet et gère l'utilisation de certificats. Un CA peut être un tiers extérieur CA tels que VeriSign, GeoTrust, Thawte, IT et de l'Institut de GlobalSign, ou vous pouvez déployer votre propre CA. Vous pouvez également utiliser une combinaison de communication interne et externe AC. Manuellement à partir d'une demande de certificats CA se produit lorsque vous demandez explicitement la CA d'émettre un certificat. Les certificats sont automatiquement demandée lorsque l'application demande et obtient un certificat en tant que processus d'arrière-plan, sans aucune intervention de l'utilisateur.
Pour la configuration interne de CA, Microsoft fournit des services de certificats. Vous pouvez installer Certificate Services du Panneau de configuration, par Ajout / Suppression de programmes. Vous pouvez utiliser les services de certificats, soit l'entreprise de déployer les autorités, ou Stand-alone CA. Enterprise CAs sont intégrés dans Active Directory, et de publier des certificats et des LCR à Active Directory. Enterprise AC ne peut délivrer des certificats aux utilisateurs et aux ordinateurs dans Active Directory. Enterprise CA utilise les informations de la base de données Active Directory pour approuver automatiquement certificat d'inscription ou de refuser la demande. Stand-alone CA ne sont pas dépendants de Active Directory pour la délivrance de certificats.

Quand un client navigateur Web se connecte à un serveur Web qui est configuré pour SSL, une connexion SSL est lancée avec le serveur Web. Le processus se produit handshake SSL entre un client et le serveur Web de négocier les algorithmes de chiffrement à clé secrète dont le client et le serveur Web utilise pour crypter les données qui sont transmises dans la session SSL.

Le processus qui se produit pour établir une session sécurisée SSL est décrite ci-dessous:

1. Le client initie la création de la session SSL en demandant la clé publique du serveur Web.
2. Le serveur répond par l'envoi au client la clé publique.
3. Le client procède à l'envoyer au serveur Web une clé de session. La clé est chiffrée avec la clé publique.
4. Le serveur déchiffre la prochaine clé de session, elle reçoit l'aide de sa clé privée.
5. La clé de session est utilisée pour chiffrer et déchiffrer les données transmises entre le client et le serveur.
6. La clé de session SSL lors de la session, soit à temps ou est résilié.

Les avantages de l'utilisation de SSL dans IIS

Quelques avantages de l'utilisation de SSL dans IIS sont résumées ci-dessous:

1. Cliquez sur Démarrer, cliquez sur Outils d'administration, puis cliquez sur Internet Information Services (IIS) pour ouvrir la console IIS Manager.
2. Dans l'arborescence de la console, développez le nœud Sites Web.
3. Cliquez-droit sur le site Web que vous voulez mettre en place un certificat, et cliquez sur Propriétés.
4. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
5. Cliquez sur le bouton Certificat de serveur.

Pour demander et installer un certificat de serveur,

• Renouveler un certificat de serveur, avant d'expirer.
• Copier / déplacer un certificat existant à un autre serveur Web IIS ou un site.
• Exporter le certificat de le stocker à un emplacement différent
• Remplacer le certificat actuel, si elle a expiré.
• Retirez le certificat si le site ne nécessite plus sécurisé SSL communications.

Les tâches de gestion peut être réalisée par la relance de l'Assistant Certificat de serveur Web. Après avoir cliqué sur Suivant sur l'Bienvenue à L'Assistant Certificat de serveur Web, vous pouvez choisir entre la réalisation de diverses tâches de gestion de certificat de serveur.

Pour renouveler un certificat de serveur,

1. Ouvrez le Gestionnaire des services Internet
2. Dans l'arborescence de la console, développez le nœud Sites Web.
3. Cliquez-droit sur le site Web que vous souhaitez renouveler le certificat, et cliquez sur Propriétés.
4. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
5. Cliquez sur le bouton Certificat de serveur.
6. Cliquez sur Suivant dans la bienvenue à L'Assistant Certificat de serveur Web page.
7. Sur la Modifier le certificat actuel d'affectation page, cliquez sur Renouveler le certificat actuel, puis cliquez sur Suivant.
8. Sélectionnez des options suivantes:
• Si vous voulez demander et d'obtenir un certificat d'un CA, cliquez sur Envoyer immédiatement la demande à une Autorité de certification en ligne option.
• Si vous voulez envoyer la demande de certificat à un CA hors connexion, cliquez sur Préparer la demande maintenant, mais l'envoyer plus tard option.
9. Entrez un nom de fichier pour la demande de certificat si vous avez préalablement sélectionné le Préparer la demande maintenant, mais l'envoyer plus tard option, ou sélectionner le CA de la liste Autorités de certification, si vous avez préalablement sélectionné l'option Envoyer immédiatement la demande à une Autorité de certification en ligne option. Cliquez sur Suivant.
10. Cliquez sur Suivant. Cliquez sur Terminer

Pour attribuer un certificat de serveur en cours de validité,

1. Ouvrez le Gestionnaire des services Internet
2. Dans l'arborescence de la console, développez le nœud Sites Web.
3. Cliquez-droit sur le site Web que vous souhaitez attribuer le certificat, et cliquez sur Propriétés.
4. Lorsque la boîte de dialogue Propriétés du site Web s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
5. Cliquez sur le bouton Certificat de serveur.
6. Cliquez sur Suivant dans la bienvenue à L'Assistant Certificat de serveur Web page.
7. Sur la page Certificat de serveur, cliquez sur Attribuer un certificat existant. Cliquez sur Suivant.
8. Spécifiez le port TCP pour les communications sécurisées SSL. Par défaut, c'est le port 443. Cliquez sur Suivant
9. Cliquez sur Suivant. Cliquez sur Terminer.

Configurer IIS pour activer les certificats clients

Si l'authentification de base, l'authentification intégrée de Windows, l'authentification Digest ou l'authentification des passeports sont généralement utilisés pour authentifier les utilisateurs essayant d'accéder à un site Web, SSL peut également être utilisé pour authentifier les clients. Grâce à l'aide du protocole SSL, vous pouvez exiger des certificats client pour vérifier l'identité des clients.
La plus simple façon d'authentifier les utilisateurs avec des certificats est de permettre l'accès au site pour les utilisateurs qui ont un certificat valable d'accéder au site en particulier. Cette solution offre toutefois peu de sécurité. Dans IIS, le serveur Web qui autorise automatiquement les certificats ont été délivrés par une racine de confiance CA. Cela comprend, malheureusement, les autorités publiques qui pourraient avoir délivré un certificat à un utilisateur qui doit être empêché d'accéder au site.

Pour renforcer la sécurité d'un site lorsque les certificats clients sont utilisés, vous pouvez appliquer une ou l'autre des solutions suivantes:

• Vous pouvez utiliser les mappages de certificat client pour restreindre l'accès au site aux seuls utilisateurs qui ont des certificats.
• One-to-one mapping: Cette configuration des cartes individuelles de certificats à des comptes d'utilisateurs. Un seul certificat est associé à un compte d'utilisateur. Un utilisateur est authentifié lors de leur fournir un nom d'utilisateur et mot de passe.
• Many-to-one mapping: Cette configuration nécessite certificats correspondent à une certaine liste de règles. Certificats clients qui correspondent à des critères spécifiques sont acceptés.
• Vous pouvez créer un certificat de la liste de confiance (CTL) de limiter le nombre de root CA qui sont en mesure de délivrer des certificats aux utilisateurs. A CTL est une liste des autorités pour un site Web qui sont considérées comme dignes de confiance. CTLs ne peut pas être configuré pour des sites FTP.

Comment faire pour installer un certificat client pour un client Windows

1. Ouvrez Internet Explorer.
2. Entrez https: / / dc / certsrv /.
3. Lorsque les services de certificats Microsoft page d'accueil s'ouvre, cliquez sur Demander un certificat. Cliquez sur Suivant.
4. Sur la page Choisir le type de demande, cliquez sur User Certificate. Cliquez sur Suivant.
5. Cliquez sur Envoyer sur le certificat d'utilisateur Identification Information page.
6. La page Certificat émis s'affiche une fois que le certificat client est délivré.
7. Pour installer le certificat sur le navigateur, cliquez sur Installer ce certificat.

Comment faire pour afficher les informations du certificat client existant

1. Sur le client, ouvrez Internet Explorer.
2. Sélectionnez Options Internet dans le menu Outils.
3. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Contenu.
4. Cliquez sur le bouton Certificats dans le domaine des certificats de l'onglet.
5. La boîte de dialogue Certificats s'ouvre.
6. Dans le but liste déroulante, sélectionnez l'authentification du client pour afficher les certificats actuellement installés client.
7. Choisissez le certificat et cliquez sur le bouton Afficher.

Comment faire pour activer les certificats clients dans IIS

1. Ouvrez le Gestionnaire des services Internet.
2. Dans l'arborescence de la console, cliquez droit sur le nœud Site Web par défaut et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque le site Web de la boîte de dialogue Propriétés s'ouvre, cliquez sur l'onglet Site Web.
4. Vérifiez que le port 443 est définie comme le port SSL.
5. Cliquez sur l'onglet Sécurité de répertoire.
6. Dans le domaine des communications sécurisées de la boîte de dialogue, cliquez sur le bouton Modifier.
7. Dans la boîte de dialogue Communications sécurisées, cliquez sur Requérir un canal sécurisé (SSL) case à cocher.
8. En vertu de certificats clients, cliquez sur l'option Exiger les certificats clients pour permettre à des certificats client.
9. Cliquez sur OK.

Comment faire pour créer un à un certificat client mappings

1. Sur le client, ouvrez Internet Explorer.
2. Sélectionnez Options Internet dans le menu Outils.
3. Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Contenu.
4. Cliquez sur le bouton Certificats d'ouvrir la boîte de dialogue Certificats.
5. Dans le but liste déroulante, sélectionnez Client Authentication.
6. Sélectionnez le certificat de la liste des certificats clients actuellement installés.
7. Cliquez sur le bouton Exporter.
8. Lorsque l'Assistant Exportation de certificat démarre, cliquez sur Suivant.
9. Sur la page Exporter la clé privée, sélectionnez Non, ne pas exporter la clé privée option. Cliquez sur Suivant.
10. Sur la page Format de fichier d'exportation, sélectionnez la base-64 Encoded X.509 option. Cliquez sur Suivant.
11. Entrez un nom de fichier pour le certificat exporté. Cliquez sur Suivant.
12. Cliquez sur Terminer.

Pour créer un à un certificat client mappings,

1. Ouvrez le Gestionnaire des services Internet
2. Dans l'arborescence de la console, développez le nœud Sites Web.
3. Cliquez-droit sur le site Web, puis cliquez sur Propriétés dans le menu.
4. Lorsque la boîte de dialogue Propriétés s'ouvre, cliquez sur l'onglet Sécurité de répertoire.
5. Dans le domaine des communications sécurisées de la boîte de dialogue, cliquez sur le bouton Modifier.
6. Dans la boîte de dialogue Communications sécurisées, sélectionnez Activer le mappage de certificat client case.
7. Cliquez sur Modifier pour ouvrir la boîte de dialogue Mappings compte.
8. Sur la 1.1, cliquez sur Ajouter.
9. Dans la boîte de dialogue Ouvrir, choisissez le fichier que vous avez préalablement exporté et cliquez sur Ouvrir.
10. Sur la carte pour la boîte de dialogue du compte, entrez un nom dans la zone Nom de la carte.
11. Cliquez sur le bouton Parcourir pour rechercher le domaine pour le compte d'utilisateur.
12. Sélectionnez l'utilisateur, cliquez sur Ajouter, puis cliquez sur OK
13. Entrez le mot de passe du compte utilisateur.
14. Cliquez sur OK à plusieurs reprises pour fermer toutes les boîtes de dialogue ouvertes.

Comment faire pour créer plusieurs-vers-un certificat client mappings

1. Ouvrez le Gestionnaire des services Internet
2. Ouvrez la boîte de dialogue Propriétés du site Web.
3. Cliquez sur l'onglet Sécurité de répertoire
4. Dans le domaine des communications sécurisées de l'onglet, cliquez sur Modifier.
5. Sélectionnez Activer la case à cocher Client Certificate Mapping.
6. Cliquez sur le bouton Modifier.
7. Cliquez sur l'onglet nombreux-1.
8. Cliquez sur Ajouter pour ouvrir la page générale.
9. Entrez un nom pour la règle dans la zone Description, puis cliquez sur Suivant.
10. Sur la page Règles, cliquez sur Nouveau.
11. Lorsque l'élément de la règle Modifier boîte de dialogue s'ouvre, à partir de la liste Champ de certificat:
• Sélectionnez l'émetteur, de filtre basé sur l'émission CA, ou
• Sélectionnez Objet, de filtre sur l'entité à laquelle le certificat a été délivré.
12. Précisez les critères de la règle de la boîte de critères. Cliquez sur OK.
13. Après avoir ajouté toutes les règles nécessaires, cliquez sur Suivant
14. Sur la cartographie page, sélectionnez une des options suivantes:
• Pour ne pas accepter d'accès qui correspondent aux critères, cliquez sur l'option de refuser l'accès.
• Pour la carte correspondant à des certificats à un compte d'utilisateur, cliquez sur Accepter ce certificat pour l'authentification d'ouverture de session option.
15. Si vous avez préalablement sélectionné Accepter ce certificat pour l'authentification d'ouverture de session, entrez les informations dans la boîte de compte et mot de passe boîte.
16. Cliquez sur Terminer.

Comment faire pour configurer un certificat de confiance list (CTL)

1. Ouvrez le Gestionnaire des services Internet
2. Ouvrez la boîte de dialogue Propriétés du site Web particulier.
3. Cliquez sur l'onglet Sécurité de répertoire, puis cliquez sur Modifier sous Communications sécurisées.
4. Sélectionnez Activer la case à cocher Liste de certificat d'affectation spéciale.
5. Cliquez sur New pour lancer l'Assistant Certificat Trust List. Cliquez sur Suivant
6. Sur les certificats dans le CTL page, cliquez sur le bouton Ajouter de magasin.
7. Sélectionnez la boîte de dialogue Certificat s'ouvre et affiche toutes les certificats.
8. Choisissez les certificats que vous voulez utiliser, et cliquez sur OK.
9. Cliquez sur Suivant dans la certificats dans le CTL page.
10. Sur le nom et la description page, entrez un nom et une description pour le CTL. Cliquez sur Suivant.
11. Cliquez sur Terminer.