Table des matières
Création des certificats, renouvellement... (#ID-156)
Informations qualité
| Suivi des modifications majeures | 2025/07/16 Nicolas MARCHAND - Reprise en procédure d'une doc intranet |
| Suivi des approbations | Cartographie fonctionnelle |
| Objet | Ce document explique la bonne pratique de la mise en place des certificats sur nos serveurs |
| Destinataires | - Validation des modifications : Gérant - Approbation du document : Dev |
Procédure
Les certificats que nous utilisons viennent de https://www.httpcs.com/
Il est livré des certificats au format crt hors IIS veut des format pfx, il faut donc les convertir.
Pour mémoire :
| logeas-web_fr.crt | Fichier certificat généré par httpcs |
| logeas-web_fr.key | Contient la clef privé |
| logeas-web_fr.pfx | Fichier certificat utilisé par IIS doit être généré (cf plus bas) à partir du .crt et du .key |
et
| AAACertificateServices.crt | usage inconnu |
| USERTrustRSAAAACA.crt | usage inconnu |
| SectigoRSADomainValidationSecureServerCA.crt | usage inconnu |
Convertir du format crt -> pfx
Récupérer la clef privée
Normalement la clef est sur le serveur dans le dossier certificat suivi du domaine
Si ce n'est pas le cas on peut le générer à partir du certificat actuel par la suite de commande suivante
- en utilisant la console de gestion des certificats dans MMS, il est possible d'exporter les certificats actuels avec la clef privé (cf https://www.tbs-certificats.com/FAQ/fr/105.html)
- on utilise ensuite openssl (si non installé https://slproweb.com/products/Win32OpenSSL.html)
- pour exporter la clef par la commande
"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -in logeas-web.pfx -out logeas-web.key -nodes
Convertir
utilisez la commande suivante :
"C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -inkey logeas-web_fr.key -in logeas-web_fr.crt -export -out logeas-web_fr.pfx
NB :
- le password demandé est à créer, il sera utilisé lors de l'import dans IIS
- des .bat existent dans les dossiers pour executer la commande avec cmd (ne marche pas en powershell?)
Mettre en place
Il suffit alors de :
- réimporter le certificat dans le magasin de IIS (certificat du serveur)
- aller sur le/les sites correspondants puis dans les liaisons et de mettre en place le nouveau certificat