|{{:undo-2.svg?30|}} [[certif:do#procedures|Retour au Dossier Organisationnel]]||
|{{:connexe.jpg?40|}} **Sujets connexes**|[[https://cartographie-fonctionnelle.logeas-web.fr/|Cartographie fonctionnelle de LoGeAs]]\\ [[glossaire:certficatssl]]|
====== Création des certificats, renouvellement... (#ID-156) ======
===== Informations qualité =====
|**Suivi des modifications majeures** |2025/07/16 Nicolas MARCHAND - Reprise en procédure d'une doc intranet|
|**Suivi des approbations** |Cartographie fonctionnelle|
|**Objet** |Ce document explique la bonne pratique de la mise en place des certificats sur nos serveurs|
|**Destinataires** |**- Validation des modifications : ** Gérant \\ **- Approbation du document** : Dev |
===== Procédure =====
Les certificats que nous utilisons viennent de https://www.httpcs.com/ \\
Il est livré des certificats au format crt hors IIS veut des format pfx, il faut donc les convertir.
\\
Pour mémoire :
|logeas-web_fr.crt|Fichier certificat généré par httpcs|
|logeas-web_fr.key|Contient la clef privé|
|logeas-web_fr.pfx|Fichier certificat utilisé par IIS doit être généré (cf plus bas) à partir du .crt et du .key|
et
|AAACertificateServices.crt|usage inconnu|
|USERTrustRSAAAACA.crt|usage inconnu|
|SectigoRSADomainValidationSecureServerCA.crt|usage inconnu|



==== Convertir du format crt -> pfx ====
=== Récupérer la clef privée ===
Normalement la clef est sur le serveur dans le dossier certificat suivi du domaine\\
Si ce n'est pas le cas on peut le générer à partir du certificat actuel par la suite de commande suivante
  * en utilisant la console de gestion des certificats dans MMS, il est possible d'exporter les certificats actuels avec la clef privé (cf https://www.tbs-certificats.com/FAQ/fr/105.html)
  * on utilise ensuite openssl (si non installé https://slproweb.com/products/Win32OpenSSL.html) 
  * pour exporter la clef par la commande <code>"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -in logeas-web.pfx -out logeas-web.key -nodes</code>
==== Convertir ====
utilisez la commande suivante :
<code>"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -inkey logeas-web_fr.key -in logeas-web_fr.crt -export -out logeas-web_fr.pfx</code>
NB : 
  * le password demandé est à créer, il sera utilisé lors de l'import dans IIS
  * des .bat existent dans les dossiers pour executer la commande avec cmd (ne marche pas en powershell?) 
===== Mettre en place =====
Il suffit alors de :
  * réimporter le certificat dans le magasin de IIS (certificat du serveur)
  * aller sur le/les sites correspondants puis dans les liaisons et de mettre en place le nouveau certificat