|{{:undo-2.svg?30|}} [[certif:do#procedures|Retour au Dossier Organisationnel]]||
|{{:connexe.jpg?40|}} **Sujets connexes**|[[https://cartographie-fonctionnelle.logeas-web.fr/|Cartographie fonctionnelle de LoGeAs]]\\ [[glossaire:certficatssl]]|
====== Création des certificats, renouvellement... (#ID-156) ======
===== Informations qualité =====
|**Suivi des modifications majeures** |2026/05/12 Evolution suite à changement chez httpcs\\ 2025/07/16 Nicolas MARCHAND - Reprise en procédure d'une doc intranet|
|**Suivi des approbations** |Cartographie fonctionnelle|
|**Objet** |Ce document explique la bonne pratique de la mise en place des certificats sur nos serveurs|
|**Destinataires** |**- Validation des modifications : ** Gérant \\ **- Approbation du document** : Dev |
==== Renouvellement ====
  * Aller chez https://www.httpcs.com/ ergo "SSL\Mes certificats SSL"
  * Demander le renouvellement, payer
  * Revenir un peut plus tard et suivre les demandes CNAME...
  * Revenir un peu plus tard (temps de propagation)
===== Procédure =====
Les certificats que nous utilisons viennent de https://www.httpcs.com/ \\
Il est livré des certificats au format crt hors IIS veut des format pfx, il faut donc les convertir.

Copier les fichiers contenus dans le zip (dans le bon dossier)
Conversion via le bat : Genere PFX.bat


Pour mémoire :
|logeas-web_fr.crt|Fichier certificat généré par httpcs|
|logeas-web_fr.key|Contient la clef privé|
|logeas-web_fr.pfx|Fichier certificat utilisé par IIS doit être généré (cf plus bas) à partir du .crt et du .key|
et
|AAACertificateServices.crt|usage inconnu|
|USERTrustRSAAAACA.crt|usage inconnu|
|SectigoRSADomainValidationSecureServerCA.crt|usage inconnu|



==== Convertir du format crt -> pfx ====
=== Récupérer la clef privée ===
Normalement la clef est sur le serveur dans le dossier certificat suivi du domaine\\
Si ce n'est pas le cas on peut le générer à partir du certificat actuel par la suite de commande suivante
  * en utilisant la console de gestion des certificats dans MMS, il est possible d'exporter les certificats actuels avec la clef privé (cf https://www.tbs-certificats.com/FAQ/fr/105.html)
  * on utilise ensuite openssl (si non installé https://slproweb.com/products/Win32OpenSSL.html) 
  * pour exporter la clef par la commande <code>"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -in logeas-web.pfx -out logeas-web.key -nodes</code>
==== Convertir ====
utilisez la commande suivante :
<code>"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -inkey logeas-web_fr.key -in logeas-web_fr.crt -export -out logeas-web_fr.pfx</code>
NB : 
  * le password demandé est à créer, il sera utilisé lors de l'import dans IIS
  * des .bat existent dans les dossiers pour executer la commande avec cmd (ne marche pas en powershell?) 
===== Mettre en place =====
Il suffit alors de :
  * Réimporter le certificat dans le magasin de IIS (certificat du serveur)
    * Sur le WIN / Certificats de serveur
    * Clic droit / Importer sur celui voulu
    * Reprendre dans le bon chemin d'accès
  * aller sur le/les sites correspondants puis dans les liaisons et de mettre en place le nouveau certificat

===== IDEM App.Logeas.fr =====
Copier le fichier logeas_fr.pfx et modifier dans IIS