Comment installer un certificat SSL/TLS sur mon instance Windows EC2 exécutant un serveur IIS ?

Brève description

Remarque : si vous utilisez Elastic Load Balancing (ELB), vous pouvez utiliser un certificat fourni par Amazon à partir d'AWS Certificate Manager (ASM). Pour plus d'informations, consultez Comment associer un certificat ACM SSL/TLS avec un équilibreur de charge Classic, Application ou Network Load Balancer ?

Il y a trois étapes pour installer un certificat SSL/TLS sur votre instance Windows EC2 :

1. Créer une demande de signature de certificat (CSR) et demander votre certificat SSL.
2. Installer votre certificat SSL.
3. Attribuez le certificat SSL à votre déploiement IIS.

Vous pouvez également modifier un certificat SSL existant attribué à un site.

Résolution

Étape 1 : Créez une CSR et demandez votre certificat SSL

1.    Ouvrez le gestionnaire IIS en sélectionnant Start (Démarrer), Control Panel (Panneau de configuration), Administrative Tools (Outils d'administration), Internet Information Services (IIS) Manager (Gestionnaire des services Internet (IIS)).

2.    Sélectionnez Connections (Connexions), puis sélectionnez le nom du serveur sur lequel vous installez le certificat.

3.    Dans la section IIS de la page d'accueil, sélectionnez Server Certificates (Certificats de serveur).

4.    Sur la console Server Certificates, sélectionnez Actions, puis Create Certificate Request. L'assistant Request Certificate (Demander un certificat) s'ouvre.

5.    Entrez les valeurs suivantes dans l'assistant Request Certificate (Demander un certificat) :

• Common name (Nom commun) : indiquez le nom de domaine complet (FQDN) du domaine (par exemple, www.exemple.com).
• Organization (Organisation) : indiquez le nom de votre entreprise.
• Organizational unit (Unité d'organisation) : le cas échéant, indiquez le nom du service au sein de votre organisation.
• City/locality (Ville/localité) : indiquez la ville où l'entreprise est légalement installée.
• State/province (État/province) : indiquez l'état ou la province où l'entreprise est légalement installée.
• Country (Pays) : indiquez le pays dans lequel l'entreprise est légalement installée.

6.    Cryptographic Service Provider Properties (Propriétés du fournisseur de services cryptographiques), spécifiez les informations suivantes :

• Cryptographic service provider (Fournisseur de services cryptographiques) : sélectionnez Microsoft RSA Channel Cryptographic Provider. Vous pouvez sélectionner d'autres options, si nécessaire.
• Bit length (Longueur du bit) : utilisez 2048, qui est la norme ouverte actuelle, sauf si une valeur supérieure est requise.

7.    Sélectionnez Browse (Parcourir) à côté du champ Specify a file name for the certificate request (Spécifiez un nom de fichier pour la demande de certificat) pour accéder à l'emplacement où vous souhaitez enregistrer votre CSR.

Remarque : si vous ne sélectionnez aucun emplacement, le fichier est enregistré sous C:\windows\system32.

8.    Sélectionnez Next (Suivant).

9.    Sélectionnez Finish (Terminer).

10.    Utilisez un éditeur de texte pour copier le texte à partir du fichier créé. Voici un exemple de texte :

-----BEGIN NEW CERTIFICATE REQUEST-----
<examplekey>
-----END NEW CERTIFICATE REQUEST-----

11.    Envoyez cette valeur, y compris la première et la dernière ligne, au fournisseur de certificats que vous avez choisi afin qu'il puisse émettre le certificat.

Lorsque le certificat est disponible, passez à l'Étape 2 : Installez votre certificat SSL.

Étape 2 : Installez votre certificat SSL

1.    Enregistrez le fichier de certificat émis par le fournisseur choisi sur le serveur sur lequel vous avez créé la demande de signature de certificat (CSR).

2.    Ouvrez le gestionnaire IIS en sélectionnant Start (Démarrer), Control Panel (Panneau de configuration), Administrative Tools (Outils d'administration), Internet Information Services (IIS) Manager (Gestionnaire des services Internet (IIS)).

3.    Sélectionnez Connections (Connexions), puis sélectionnez le nom du serveur sur lequel vous installez le certificat.

4.    Dans la section IIS, sélectionnez Server Certificates (Certificats de serveur).

5.    Sélectionnez Actions, Complete Certificate Request (Terminer la demande de certificat). Un assistant se lance.

6.    Pour Specify Certificate Authority Response (Spécifier la réponse de l'autorité de certification), spécifiez les informations suivantes :

• File name containing the certificate authority's response (Nom de fichier contenant la réponse de l'autorité de certification) : sélectionnez le fichier de certificat (.cer).
• Friendly name (Nom convivial) : saisissez un nom permettant d'identifier le certificat. Pour faciliter l'identification, pensez à ajouter la date d'expiration et le cas d'utilisation.
• Select a certificate store for the new certificate (Sélectionnez un magasin de certificats pour le nouveau certificat) : sélectionnez Web Hosting (Hébergement Web).

Votre certificat SSL est installé sur le serveur et prêt à l'emploi. Vous devez maintenant l'attribuer à votre site.

Étape 3 : Attribuez le certificat SSL à votre déploiement IIS

1.    Ouvrez le gestionnaire IIS en sélectionnant Start (Démarrer), Control Panel (Panneau de configuration), Administrative Tools (Outils d'administration), Internet Information Services (IIS) Manager (Gestionnaire des services Internet (IIS)).

2.    Sous Connections (Connexions), développez la section du serveur sur lequel vous avez installé le certificat.

3.    Développez la section Sites, puis sélectionnez le site sur lequel vous souhaitez attribuer le certificat.

4.    Sur la page d'accueil du site, sélectionnez Bindings (Liaisons).

5.    Dans l'assistant Site Bindings (Liaisons de sites), sélectionnez Add (Ajouter).

6.    Dans l'option Add Site Binding (Ajouter une liaison de site), spécifiez les informations suivantes :

• Type : sélectionnez HTTPS.
• IP Address (Adresse IP) : sélectionnez l'adresse IP du site ou sélectionnez All Unassigned (Tous les éléments non attribués).
• Port : saisissez 443. Le port 443 est le port utilisé par HTTPS pour le trafic sécurisé SSL.
• SSL Certificate (Certificat SSL) : sélectionnez le certificat SSL pour ce site (par exemple, exemple.com).

Maintenant, le certificat SSL est attribué à ce site spécifique pour être utilisé avec HTTPS.

Modifier un certificat SSL existant attribué à un site

Pour modifier un certificat attribué à un site, procédez comme suit :

1.    Suivez les étapes de l'Étape 1 : Créez une CSR et demandez votre certificat SSL.

2.    Suivez les étapes de l'Étape 2 : Installez votre certificat SSL.

3.    Suivez les étapes 1 à 4 de l'Étape 3 : Attribuez le certificat SSL à votre déploiement IIS.

4.    Dans l'assistant Site Bindings (Liaisons de sites), recherchez la liaison HTTPS, sélectionnez-la, puis choisissez Edit (Modifier).

5.    Sélectionnez le nouveau certificat dans la liste déroulante SSL Certificate (Certificat SSL), puis sélectionnez OK.