Comment installer un certificat SSL/TLS sur mon instance Windows EC2 qui s'exécute sur un serveur IIS ?

Brève description

Remarque : Si vous utilisez Elastic Load Balancing (ELB), vous pouvez utiliser un certificat fourni par Amazon à partir d'AWS Certificate Manager (ACM). Pour plus d’informations, consultez la section Comment puis-je associer un certificat SSL/TLS ACM à un Application Load Balancer, un Network Load Balancer ou un Classic Load Balancer ?

L'installation d'un certificat SSL/TLS sur votre instance Windows EC2 s'effectue en trois étapes :

1. Créez une demande de signature de certificat (CSR) et demandez un certificat SSL/TLS.
2. Installez votre certificat SSL/TLS.
3. Attribuez le certificat SSL/TLS à votre déploiement IIS.

Vous pouvez également modifier un certificat SSL/TLS existant qui est attribué à un site.

Résolution

Créer un CSR et demander un certificat SSL/TLS

Procédez comme suit :

1. Ouvrez le Gestionnaire IIS. Pour ouvrir le Gestionnaire IIS, choisissez d'abord Démarrer, Panneau de configuration, Outils d'administration, puis Gestionnaire des services Internet (IIS).
2. Dans Connexions, choisissez le nom du serveur sur lequel vous souhaitez installer le certificat.
3. Dans la section IIS de la page d'accueil, choisissez Certificats de serveur.
4. Dans la console Certificats de serveur, sous Actions, choisissez Créer une demande de certificat.
5. Entrez les valeurs suivantes dans l'assistant Demande de certificat :
   Dans Nom commun, entrez le nom de domaine complet (FQDN) du domaine (par exemple, www.exemple.com).
   Dans Organisation, saisissez le nom de votre entreprise.
   (Facultatif) Dans Unité organisationnelle, entrez le nom du service au sein de votre organisation.
   Dans Ville/localité, entrez la ville où l'entreprise est légalement établie.
   Dans État/province, entrez l'état ou la province où l'entreprise est légalement établie.
   Dans Pays, entrez le pays dans lequel l'entreprise est légalement établie.
6. Sélectionnez Suivant.
7. Dans Propriétés du fournisseur de services cryptographiques, entrez les valeurs suivantes :
   Dans Fournisseur de services cryptographiques, sélectionnez Fournisseur de chiffrement Microsoft RSA Channel. Vous pouvez également sélectionner d'autres options.
   Dans Longueur en bits, sélectionnez 2048. Il est recommandé d'utiliser 2048, sauf si une valeur plus élevée est requise.
8. Sélectionnez Suivant.
9. Dans Nom de fichier, accédez à l'emplacement où vous souhaitez enregistrer le CSR.
   Remarque : Si vous ne spécifiez aucun emplacement, le fichier est enregistré dans C:\windows\system32 ou ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools.
10. Sélectionnez Terminer.
11. Utilisez un éditeur de texte pour copier le texte à partir du fichier créé. Voici un exemple du texte :

-----BEGIN NEW CERTIFICATE REQUEST-----<examplekey>
-----END NEW CERTIFICATE REQUEST-----

12. Envoyez la valeur précédente, y compris les première et dernière lignes, au fournisseur de certificats que vous avez choisi afin qu'il puisse émettre le certificat.

Lorsque le certificat est disponible, installez votre certificat SSL/TLS.

Installer votre certificat SSL/TLS

Procédez comme suit :

1. Enregistrez le fichier de certificat émis par le fournisseur que vous avez choisi sur le serveur sur lequel vous avez créé le CSR.
2. Ouvrez le Gestionnaire IIS.
3. Dans Connexions, choisissez le nom du serveur sur lequel vous souhaitez installer le certificat.
4. Dans la section IIS, choisissez Certificats de serveur.
5. Dans Actions, choisissez Terminer la demande de certificat.
6. Dans l'assistant Indication de la réponse de l’autorité de certification, entrez les informations suivantes :
   Dans Nom de fichier contenant la réponse de l'autorité de certification, sélectionnez le fichier de certificat (.cer).
   Dans Nom convivial, entrez un nom qui vous permettra d'identifier le certificat. Il est recommandé d'ajouter la date d'expiration et le cas d'utilisation pour faciliter l'identification.
   Dans Sélectionner un magasin de certificats pour le nouveau certificat, sélectionnez Hébergement Web.

Une fois que votre certificat SSL/TLS est installé sur le serveur et prêt à être utilisé, attribuez-le à votre site.

Attribuer le certificat SSL/TLS à votre déploiement IIS

Procédez comme suit :

1. Ouvrez le Gestionnaire IIS.
2. Dans Connexions, choisissez le nom du serveur sur lequel vous souhaitez installer le certificat.
3. Sélectionnez Sites pour développer la section, puis choisissez le site auquel vous souhaitez attribuer le certificat.
4. Dans Actions, choisissez Liaisons.
5. Dans l'assistant Liaisons de site, choisissez Ajouter.
6. Pour Ajouter une liaison de site, entrez les informations suivantes :
   Dans Type, sélectionnez HTTPS.
   Dans Adresse IP, sélectionnez l'adresse IP du site. Vous pouvez également sélectionner Toutes non attribuées.
   Dans Port, saisissez 443. Le port 443 est le port utilisé par HTTPS pour le trafic sécurisé SSL/TLS.
   Dans Certificat SSL, sélectionnez le certificat SSL pour ce site (par exemple, www.exemple.com).
7. Cliquez sur OK.

Le certificat SSL/TLS est attribué à ce site spécifique pour une utilisation avec HTTPS.

Modifier un certificat SSL/TLS existant attribué à un site

Pour modifier un certificat attribué à un site, procédez comme suit :

1. Suivez les étapes décrites dans la section Créer un CSR et demander un certificat SSL/TLS de cet article.
2. Suivez les étapes décrites dans la section Installer votre certificat SSL/TLS de cet article.
3. Suivez les étapes 1 à 4 de la section Attribuer le certificat SSL/TLS à votre déploiement IIS de cet article.
4. Dans l'assistant Liaisons de site, recherchez la liaison HTTPS. Sélectionnez la liaison, puis choisissez Modifier.
5. Sélectionnez le nouveau certificat dans la liste déroulante Certificat SSL, puis choisissez Ok.