mercredi 22 juillet 2020

IIS Certificate Management - Comment installer un certificat SSL sur mon Site Web derrière IIS ?

C'est un vrai scandale cette histoire de certificats, cela permet à quelques uns, mal intentionnés de faire de l'argent. Mais pensez-vous réellement que les vrais hackeurs seront empêchés par ce genre de pratiques ? Je crois que non, il y a des sites cachés derrières des certificats SSL qui sont malveillants avec ou sans SSL.

SSL - l'Internet pour les Nulls
SSL - l'Internet pour les Nulls

C'est toujours la même chose sur les Internets, des organismes essayent de vous faire croire que vous êtes protégé et en profite pour vous prendre de l'argent. Sur les Internets la meilleure protection c'est vous !

Voici le site pour les dummies :

G1Site - Comment installer un certificat SSL sur votre site Internet ?

C'est bien pour les dummies cela reprends tout depuis le début très complet mais il n'y a pas de véritable solution, allez voir votre hébergeur ! Et à la fin il prônent les avantages et à mon avis ...  

Et j'apprends qu'il y a une solution Open Source ... Let’s encrypt, le certificat SSL gratuit open source.

Curieux non ...

Et sinon Ici vous pouvez vérifier ci votre certificat est "valide"

SSL Market - Vérificateur SSL/TLS - sodevlog

Ils vous propose de vous vendre un certificat pour 99 $ rien de moins ...

Et sinon, je cherche Azure Certificat SSL  

Microsoft - Ajouter un certificat TLS/SSL dans Azure App Service

Super sujet ... Intéressant ... 

Jusqu'au moment où j'installe Cerbot

certbot-beta-installer-win32.exe

alors c'est quoi le : .well-known/acme-challenge/

SysNove - Utilisation pratique de let's encrypt (avec acme-tiny)

Et sinon la mmc avec composant logiciel enfichable pour voir tous les certificats :

Afficher tous les certificats installés sur votre machine Windows

Comment certifier SSL mon site web ?

Je trouve également

https://certbot.eff.org/lets-encrypt/windows-other.html

installer cerbot pour windows

certbot Problem binding to port 80: Could not bind to IPv4 or IPv6.

Je vais voir namebay, ils me disent de "coller ma 'Certificate Signing Request' ou 'Requête de Signature de Certificat'. En faites dans IIS c'est une CR Certificate Request ...

Créer un CSR pour votre hébergeur
Créer un CSR pour votre hébergeur

Au cours de mes différentes lectures, j'ai appris que le Cn ou Common name devrait certainement être le nom de domaine que l'on souhaite certifier donc ma CSR :

Rédaction de ma CSR pour la certification au prêt de mon hébergeur
Rédaction de ma CSR pour la certification au prêt de mon hébergeur

Oups, oups, oups ... petit sueur froide ... je ne savais pas que j'avais la possibilité de déterminer la longueur de la clef !!!

Allons y ... on recommencer tout

Création d'une CSR détermination de la longeur de la claf ...

Me voilà à payer 42 Euros / an  pour faire certifier mon site ...

et mais sous-domaines ... ?

Certification SSL pour sous-domaine ?
Certification SSL pour sous-domaine ?

Tout cela ressemble bien à une escroquerie ...

Mon Certificat n'est pas valable pour les sous-domaines ?!
Mon Certificat n'est pas valable pour les sous-domaines ?!

Oui c'est une escroquerie car j'ai acheté une machine dans le Cloud de Microsoft, j'ai commandé et payé les noms de domaines et sous domaines chez Namebay, j'ai une gestion des DNS de Namebay qui fait pointer mes sous-domaine vers mon serveur Azure Microsoft.

Tout ceci est parfaitement légale et parfaitement professionnel, il n'y a aucune raison de faire appel à un tiers de confiance pour certifier mon activité.

LINUXFR.org - SSL, et l'escroquerie continue

Et voici une autre discussion sur les certifications les moins chères.

JeuxOnLine - Arnaque SSL ?

C'est donc un vrai sujet et une vraie arnaque, sans aucun doute. Me voilà en train de payer pour certifier mon site web que j'ai acheté à un FAI !?

Et me voilà avec une nouvelle question : Comment certifier SSL mes sous domaines ?

WP channel - Le point sur les certificats SSL obligatoires en 2017

https://letsencrypt.org/fr/getting-started/

https://certbot.eff.org/lets-encrypt/windows-other
Je suis à deux doigt de réussir, je passe toutes la certife, j'ajoute du code dans mon application pour rediriger les requêtes /.well-known/acme_challenge

certbot me génère les fichiers .pme j'utilise openSSL pour créer un .pfx mais au moment de faire l'Import depuis IIS -> ServerCertificates :

Boum !

A fatal error occurred when attempting to access the TLS server credential private key. The error code returned from the cryptographic module is 0x8009030D. The internal error state is 10001.


Error Cryptographiqe

Alors sinon ce matin, je repars à l'attaque et je vais là :

NetoMeter Blog - Letsencrypt Windows Client: How to Install Let’s Encrypt Free SSL Certificates on Windows Server

Je me dis chouette super un client letsencrypt pour Windows Server c'est exactement ce qu'il me faut ...  et puis ils donnent une build de letsencrypt ... je download, j'exécute .... et boum ... End Of Life. Moi aussi je suis au bout de ma vie et un peu scandalisé aussi ...


End of Life Plan for ACMEv1

Je suis de retour sur le site :

https://github.com/win-acme/win-acme

Oh bas mince alors, s'il faut que j'installe une chaîne de développement Visual Studio pour installer un Certificat SSL sur mon serveur, ça n'a pas beaucoup de sens ...

GGGGGGRRRRRRRrrrrrrrr !!!!

Créer un certificat SSL pour votre site web avec IIS Server

Bon ... il y a t-il UNE VRAIE SOLUTION dans tout cela ? 

Oui, elle est Ici : 

https://www.win-acme.com/

Download 2.1.9 et exécution en mode "Run as administrateur" de "wacs.exe" dans le répertoire dézippé. 

Une fenêtre DOS s'affiche dans laquelle vous pouvez gérer tous vos certificats SSL pour tous vos sites installé derrière le server IIS.

Le prérequis avant l'exécution de la Demande de Certificat, c'est d'avoir tout bien installé sur IIS ... notamment les bindings (http port 80, https port 443) et ça passe tout seul ... c'est wacs.exe qui découvre ce que vous avez installé derrière IIS Server et qui vous propose de gérer les Certificats SSL associés.

Mais avec tout ce que l'on a appris ici, toute cette Daube autour de la certification SSL pour Https, quel soulagement !

Et là, c'est LA solution pour certifier SSL un site Web sur un serveur IIS ... 

Merci d'avoir suivi mes pérégrinations à travers la certification SSL pour un site Web. N'hésitez pas à laisser votre commentaire.

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.