Table des matières
Export d'un certificat SSL à partir d'un serveur Windows IIS.
Premièrement, exportez votre certificat SSL sur le serveur Windows IIS dans un fichier PFX (vous devriez le faire pour la sauvegarde en temps normal) :
- Exécutez mmc.exe
- Cliquez sur le menu «Console», puis cliquez sur “Ajouter / Supprimer des Composants'.
- Cliquez sur le bouton “Ajouter” puis choisissez le composant «Certificats» et cliquez sur “Ajouter”.
- Sélectionnez “Compte d'ordinateur” puis cliquez sur “Suivant”.
- Sélectionnez “ordinateur local” puis cliquez sur «OK».
- Cliquez sur «Fermer» puis cliquez sur «OK».
- Développer le menu du composant “Certificats” et cliquez sur le dossier “Personnel”.
- Faites un clic droit sur le certificat que vous souhaitez exporter et sélectionnez “Toutes les tâches” → “Exporter”.
- Un assistant s'affiche. Assurez-vous de cocher la case pour inclure la clé privée et continuer par le biais de cet assistant jusqu'à ce que vous ayez un fichier .PFX.
Convertir un certificat SSL généré pour Windows IIS en plusieurs fichiers contenant la clé privée et les certificats que vous pouvez utiliser sur Apache pour Windows ou Linux.
Démarrez Openssl en ligne de commande (Démarrer > Exécuter > cmd.exe) puis exécutez les commandes suivantes pour extraire la clé privée et le fichier certificat.
- Exportez la clé privée à partir du fichier PFX
openssl pkcs12 -in key.pem filename.pfx -nocerts -out
- Exportez le certificat à partir du fichier PFX
openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem
- Supprimez le mot de passe de la clé privée, Apache ne vous demandera pas votre passphase lors du démarrage
openssl rsa -in server.key-out key.pem
Convertir un certificat SSL (.crt) vers d'autres formats (.pem, .pfx)
- Convertir un fichier DER (.crt .cer .der) vers PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
- Convertir un PEM en fichier DER
openssl x509 -outform der -in certificate.pem -out certificate.der
- Convertir un fichier PKCS#12 (.pfx .p12) contenant un certificat et une clé vers un fichier PEM
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
- Convertir un fichier PEM vers un fichier PKCS#12 (.pfx .p12)
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
Importer votre certificat sur IIS
Importez votre couple certificat SSL / clé privée (à partir d'un fichier .PFX)
- Dans le menu Démarrer, sélectionnez “Exécuter”. Entrez alors “mmc.exe” et appuyez sur Entrée.
- Dans le menu “Fichier”, choisissez “Ajouter / Supprimer des Composants”
- Cliquez sur “Ajouter”, depuis le panneau Certificats, cliquez sur “Ajouter un Composant Autonome” puis cliquez sur “Ajouter”.
- Choisissez un “Compte d'Ordinateur” et cliquez sur “Suivant”, puis choisissez “Ordinateur Local” et cliquez sur “Terminer”.
- Fermez la fenêtre “Ajout d'un Composant Autonome” en cliquant sur “Fermer”.
- Fermez la fenêtre “Ajout / Supprimer des Composants” en cliquant sur “OK”.
Cliquez sur le signe ”+” pour développer l'arborescence de la console Certificats (Ordinateur Local).
- Faites un clic droit sur le dossier des “Certificats Personnels”
- Choisissez alors “Toutes les tâches” puis “Importer”
- Suivez l'assistant “Import de Certificat” pour importer votre certificat primaire à partir du fichier .PFX.
Lorsque vous y êtes invité, choisissez de placer automatiquement les certificats dans les dossiers basés selon le type de certificat.
- Fermez la console MMC.
Dans le cas où vous y êtes invité, il n'est pas nécessaire d'enregistrer les modifications apportées à la console MMC.
Configuration de votre certificat sur IIS
- Dans votre gestionnaire IIS, faites un clic droit sur le site que vous souhaitez sécuriser par le certificat SSL et sélectionnez “Propriétés”.
- Cliquez sur l'onglet “Sécurité du répertoire” et appuyez sur le bouton “Certificat de serveur”. Cela va démarrer l'Assistant Certificat de serveur.
- Si l'option vous est donnée, choisissez d'“Attribuer un certificat existant” pour le site concerné, puis choisissez le nouveau certificat que vous venez d'importer.
Si vous n'avez pas cette option, il vous sera demandé ce que vous voulez faire avec le certificat actuel pour le site, choisissez l'option “Remplacer” votre certificat actuel.
- Accédez au ficher .PFX que vous avez créé précédemment.
- Terminer l'Assistant de certificat.
Il est parfois nécessaire de redémarrer le service IIS ou le serveur entièrement afin que le nouveau certificat soit reconnu.