Partager via


Installation de certificats pour les exemples CardSpace

Pour utiliser les exemples CardSpace, des certificats SSL, des répertoires Web virtuels et des entrées de fichier d'hôtes doivent être installés. Ce document explique comment installer les certificats requis, et détaille les étapes à suivre pour installer d'autres certificats.

Avant de commencer

La configuration des exemples CardSpace exige l'installation des One-Time Setup Procedure for the Windows Communication Foundation Samples.

Installation rapide de l'exemple

Pour installer les certificats, créer les hôtes virtuels des sites Web et créer les entrées d'hôtes, exécutez le fichier de commandes setup.bat dans le répertoire d'exemples. Le fichier de commandes exécute les scripts les uns après les autres.

Pour tout désinstaller, exécutez le fichier de commandes cleanup.bat dans le répertoire d'exemples. Vous désinstallez ainsi les scripts, le site Web et les entrées d'hôtes. Cela ne supprime pas les fichiers.

À propos des certificats

Ce document montre comment installer les certificats requis. Pour plus d'informations sur les certificats, consultez les documents suivants :

Que sont les certificats ? (page pouvant être en anglais)

Fonctionnement des certificats (page pouvant être en anglais)

Outils et paramètres des certificats (page pouvant être en anglais)

Pour plus d'informations sur les certificats de l'autorité de certification, consultez les documents suivants :

Que sont les certificats de l'autorité de certification ? (page pouvant être en anglais)

Fonctionnement des certificats de l'autorité de certification (page pouvant être en anglais)

Outils et paramètres des certificats de l'autorité de certification (page pouvant être en anglais)

Spécifications

Cette procédure pas à pas est conçue pour Windows XP SP2, Windows Server 2003 SP1 et Windows Vista. Les composants suivants doivent être installés :

  • Microsoft .NET Framework 3.0.

  • IIS 5.0 (Windows XP SP2), IIS 6.0 (Windows Server 2003) ou IIS 7.0 (Windows Vista).

NoteRemarque :

Pour Windows Vista, vérifiez que le module de compatibilité avec IIS 6.0 est installé avec IIS 7.0.

Les certificats suivants se trouvent dans le dossier des certificats :

Les fichiers suivants se trouvent dans le dossier du site Web :

  • images\adatum.gif

  • images\contoso.gif

  • images\fabrikam.gif

  • crldata\adatum.crl

  • CardSpace\default.html

Les fichiers de script suivants se trouvent dans le dossier des scripts :

  • Install-certificates.vbs

  • Remove-certificates.vbs

  • Install-website.vbs

  • Remove-website.vbs

  • Install-hosts.vbs

  • Remove-hosts.vbs

À propos de ces certificats

Les certificats présentés ici sont fournis à des fins de démonstration uniquement. Le certificat de l'autorité de certification racine est stocké sous forme de fichier .sst (magasin de certificats sérialisés Microsoft). Les certificats de site Web sont tous stockés sous forme de fichiers .pfx. Les certificats sont utilisés pour deux catégories de scénarios : les scénarios de navigateur et les scénarios Windows Communication Foundation (WCF).

Les exemples de certificats sont des certificats à garantie élevée dans lesquels sont incorporées des images de logo. Les certificats à garantie élevée (HA) émanent d'une autorité de certification qui effectue des étapes supplémentaires visant à vérifier l'objet du certificat. Dans Internet Explorer 7.0, ces certificats à garantie élevée entraînent le changement de couleur de la barre d'adresses. Si le navigateur peut authentifier le certificat après vérification des informations détaillées, la barre d'adresses s'affiche en vert :

Installation des certificats : exemple Windows CardSpace

En cas de problème lors de la vérification du certificat (HA ou non), la barre d'adresses s'affiche en jaune dans Internet Explorer 7.0 :

Installation des certificats : exemple Windows CardSpace

Par ailleurs, si Internet Explorer 7.0 craint d'être en présence d'un site d'hameçonnage, la barre d'adresses devient rouge :

Installation des certificats : exemple Windows CardSpace

Les certificats SSL standard ne modifient pas la couleur de la barre d'adresses.

Les extensions de logo permettent à l'autorité de certification d'incorporer une image graphique dans le certificat et de fournir une URL pour la vérification. Dans les exemples de certificats, les URL des graphiques de logo sont paramétrées en http://www.adatum.com/images/\<logo>.gif, où <logo> est le nom du logo.

Pour les scénarios de navigateur Internet Explorer 7.0 et les scénarios WCF, les certificats doivent être installés sur le serveur Web et avoir les logos graphiques configurés dans un répertoire virtuel dans IIS, et le fichier des hôtes doit être modifié de manière à inclure les noms de domaine exemple (Fabrikam, Contoso et Adatum).

Pour tous les scénarios : pour utiliser les exemples entre plusieurs ordinateurs, modifiez manuellement le fichier des hôtes c:\windows\system32\drivers\etc\hosts dans le Bloc-notes :

Ouverture du fichier des hôtes à l'aide du Bloc-notes

Ajoutez les entrées suivantes (en remplaçant 127.0.0.1 par l'adresse IP appropriée du serveur) :

127.0.0.1       www.adatum.com adatum.com
127.0.0.1       www.contoso.com contoso.com
127.0.0.1       www.fabrikam.com fabrikam.com

Exemples de sites Web et d'URL

Les exemples d'applications et de sites Web créent des répertoires virtuels dans IIS sous l'application Web par défaut, qui doit être liée au port 80 et ne pas utiliser d'en-tête d'hôte, permettant ainsi à www.fabrikam.com, www.adatum.com et www.contoso.com de partager le même serveur Web. Le canal SSL est lié au certificat pour www.fabrikam.com et est utilisé pour les connexions HTTPS. Chaque exemple crée des répertoires virtuels dans le site Web par défaut à des fins d'illustration.

Installation des certificats

Le certificat de l'autorité de certification racine de notre autorité de certification fictive (Adatum) doit être installé à l'emplacement « Autorités de certification racines approuvées » dans le magasin de l'ordinateur local. (localMachine:root).

Les certificats de société (Contoso et Fabrikam) doivent être installés à l'emplacement « Personnel » du magasin de l'ordinateur local. (LocalMachine:My). Les mots de passe pour tous les fichiers .pfx sont vierges. Exécutez le script Install-certificates.vbs à partir du dossier des scripts. Le script installe les certificats dans les magasins appropriés. Pendant son exécution, le script demande confirmation à l'utilisateur avant de continuer :

Installation de certificats pour les exemples

Au titre de précaution de sécurité supplémentaire (de CAPICOM), le script peut afficher un avertissement indiquant qu'un certificat de l'autorité de certification est en cours d'installation. Acceptez le certificat pour continuer.

Installation de certificats pour les exemples Windows CardSpace

Le script prend également en charge deux paramètres de ligne de commande facultatifs, DEBUG et VERBOSE, qui fournissent des informations supplémentaires pendant l'exécution.

Utilisateurs experts : installez les certificats manuellement via la console MMC.

Installation des logos graphiques et de la liste de révocation de certificats

Les images graphiques pour les extensions de logo à l'intérieur des certificats doivent être disponibles pour que les clients puissent les vérifier.

Société URL Image

Adatum

http://www.adatum.com/images/adatum.gif

<Image-Datum>

Contoso

https://www.contoso.com/images/contoso.gif

<Image-Contoso>

Fabrikam

http://www.fabrikam.com/images/fabrikam.gif

<Image-Fabrikam>

Exécutez le script Install-website.vbs à partir du dossier des scripts. Le script crée les répertoires virtuels pour les logos de certificat et la liste de révocation de certificats.

Installation des certificats : exemple Windows CardSpace

Utilisateurs experts : créez les répertoires virtuels manuellement via le composant logiciel enfichable MMC d'IIS. Les trois répertoires qui pointent vers les dossiers à l'intérieur du dossier d'installation sont répertoriés dans le tableau suivant.

Répertoire virtuel Chemin d'accès

crldata

.\website\crldata

CardSpace

.\website\CardSpace

images

.\website\images

Modification du fichier des hôtes

Le fichier c:\windows\system32\drivers\etc\hosts est modifié pour les exemples de sorte que les URL se résolvent sur l'ordinateur local.

Exécutez le script Install-hosts.vbs à partir du dossier des scripts. Le script crée les entrées dans le fichier des hôtes pour les exemples.

Utilisateurs experts : créez les entrées manuellement en modifiant le fichier c:\windows\system32\drivers\etc\hosts, et en ajoutant les lignes suivantes :

127.0.0.1       www.adatum.com atatum.com
127.0.0.1       www.contoso.com contoso.com
127.0.0.1       www.fabrikam.com fabrikam.com

Vérification d'une installation réussie

Pour vérifier que l'installation du fichier des hôtes et des répertoires Web virtuels est réussie, utilisez Internet Explorer et naviguez jusqu'à http://www.fabrikam.com/CardSpace. Le navigateur affiche la page par défaut pour l'exemple.

IIS : ACL pour clés privées de certificat

Pour que les services IIS accèdent aux clés privées des certificats, les ACL doivent être définis pour que le compte de service IIS (ASPNET sur Windows XP et Windows Vista, et SERVICE RÉSEAU sur Windows Server 2003) dispose d'un accès en lecture aux fichiers. Le script d'installation des certificats se charge de cela. Pour définir l'autorisation sur les clés privées pour d'autres certificats, utilisez Findprivatekey.exe du Kit de développement logiciel (SDK) Windows et Cacls.exe, en y substituant l'empreinte numérique de l'autre certificat :

findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls 
cacls  C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120

Désinstaller

Pour désinstaller les exemples de certificats, les répertoires virtuels, et les entrées d'hôtes, exécutez les scripts suivants :

  • Remove-certificates.vbs

  • Remove-website.vbs

  • Remove-hosts.vbs

L'inscription des certificats, site Web et hôtes est supprimée.

NoteRemarque :

Les fichiers ne sont pas supprimés du répertoire d'installation.

Lorsque le certificat de l'autorité de certification est supprimé du système, le script peut afficher le message suivant :

Installation des certificats : exemple Windows CardSpace

Cliquez sur Oui pour autoriser la suppression du certificat.

Résolution des problèmes

Paramètres de proxy Internet Explorer : pour que les exemples de navigateur fonctionnent, vous pouvez être amené à ajouter les éléments suivants à vos paramètres Internet Explorer afin de passer outre le proxy :

www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com

Si vous utilisez un proxy à découverte automatique, désactivez la fonction de découverte automatique et entrez manuellement les informations de proxy. Pour plus d'informations sur la configuration de votre proxy, renseignez-vous auprès de votre administrateur système.

En cas de difficulté à observer clairement les modifications du certificat, videz votre cache de certificat SSL dans Internet Explorer. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, sélectionnez le bouton Effacer l'état SSL, puis fermez toutes les instances d'Internet Explorer.

Configuration des options Internet

Les scénarios du navigateur Internet Explorer 7.0 utilisent des connexions SSL et requièrent que vous installiez le site Web par défaut avec un certificat SSL. Alors que le dépannage des connexions SSL peut prendre du temps, quelques conseils rapides vous permettent de résoudre facilement la plupart de vos problèmes.

Pour commencer, téléchargez l'outil de diagnostic SSL pour IIS (page pouvant être en anglais).

NoteRemarque :

Toutes les captures d'écran illustrées dans ce document proviennent d'un ordinateur exécutant Windows Vista. Sur un système d'exploitation antérieur, les boîtes de dialogue seront légèrement différentes.

Voir aussi

Autres ressources

Using CardSpace in Windows Communication Foundation

Footer image

Envoyer des commentaires sur cette rubrique à Microsoft.

Copyright ©2007 par Microsoft Corporation. Tous droits réservés.