Étape de planification 4 : Planifier le magasin de certificats central SSL

par Keith Newman et Robert McMurray

Dans cette phase de la planification d'une batterie de serveurs Web, vous ajoutez la prise en charge de sites Web sécurisés par SSL en configurant un magasin de certificats central. La prise en charge des certificats SSL centralisés est une nouvelle fonctionnalité d'IIS 8.

Une fois ces tâches terminées, consignez vos décisions de conception par écrit avant de passer à l’Étape 5 : planifier le déploiement de l'application.

4.1. Introduction aux certificats centralisés

Sur Windows Server® 2012, la fonctionnalité de prise en charge centralisée des certificats SSL permet aux administrateurs du serveur de stocker et d'accéder aux certificats de manière centralisée sur un partage de fichiers. Vous pouvez configurer un magasin de certificats centralisés dans votre batterie de serveurs Web pour charger les certificats à partir du partage de fichiers.

L'utilisation de certificats centralisés simplifie la gestion des liaisons SSL. SSL nécessite le nom DNS et le nom CN d'un certificat à mettre en correspondance. Un contrat similaire peut être étendu aux noms de fichier des certificats. Par exemple, www.contoso.com utiliserait le certificat avec un nom de fichierwww.contoso.com.pfx. Ce contrat permet à Windows Server 2012 d'avoir uniquement une liaison SSL, quel que soit le nombre de sites sécurisés qui utilisent cette fonctionnalité. IIS 8 déduit le certificat à utiliser en fonction de la valeur SNI ou du nom d'hôte du site Web demandé, et en l'associant au nom de fichier du certificat.

4.2 Planifier un magasin de certificats central

Comme pour la configuration partagée, les certificats centralisés utilisent un dossier partagé sur un serveur de fichiers principal dédié pour stocker les certificats pour la batterie de serveurs Web. Ne placez pas le dossier partagé des certificats sur le serveur de fichiers de contenu.

Le magasin de certificats central demande aux certificats d'utiliser les conventions d'affectation de noms suivantes :

• Les noms de certificat doivent être au format suivant : CN_name.pfx (par exemple, www.contoso.com.pfx).
• Si le certificat est un certificat avec caractères génériques, utilisez un trait de soulignement (_) comme caractère générique (par exemple, _.contoso.com.pfx).
• Si le certificat a plusieurs noms CN, ils doivent être nommés en tant que fichiers individuels (par exemple, www.contoso1.com.pfx, www.contoso2.com.pfx, et ainsi de suite).

Voir aussi

• Étape 5 : planifier le déploiement de l’application
• Étape 3 : planifier l'équilibrage de charge pour une batterie de serveurs Web IIS
• Étape 4 : configurer le magasin de certificats SSL central
• Plan a Web Farm with IIS Servers
• Créer une batterie de serveurs Web avec des serveurs IIS
• Plateforme de serveur Web adaptée à l’hébergement (IIS) : Vue d’ensemble du scénario