Protocole ACME pour les serveurs Windows

9 févr. 2022 | Jindřich Zechmeister

ACME est un protocole pour automatiser l'obtention des certificats, connu par les administrateurs de serveurs LINUX. Souhaitez-vous utiliser ACME au serveur Windows ? Suivez notre guide !

Qu'est-ce qu'un protocole ACME

Rappelons à quoi sert le protocole ACME et quels sont ses avantages. Le protocole ACME est selon wikipedia "un protocole de communication pour l'automatisation des échanges entre les autorités de certification et les propriétaires de serveur web, permettant le déploiement automatisé d’une infrastructure à clé publique à très bas coût".

Le protocole ACME permet d'automatiser des certificats de confiance reconnus par les navigateurs. Tout le processus est géré par "acmebot" qui s'occupe de leurs mise en place. L'utilisation d'ACME est possible sur Linux, ainsi que sur les serveurs Windows.

Conditions préalables de l'acme

Avant de commencer à mettre en place le protocole ACME, voyez si vous possédez bien les pré-requis nécessaires.

Le demandeur, qui souhaite utiliser le protocole ACME, doit être d'abord vérifié. Il doit aussi prouver qu'il contrôle les domaines pour lesquels il demande le certificat.

Votre organisation, ainsi que les domaines que vous allez sécuriser, doivent être donc vérifiés. N'hésitez pas à demander le support de SSLmarket, nous pouvons accélérer le processus de validation.

Le demandeur obtiendra l'accès à ACME qui est unique pour chaque produit. Si vous souhaitez émettre, par exemple, un certificat Thawte OV et Thawte EV, vous obtiendrez une clé ACME unique pour chacun d'eux. La clé déterminera le certificat à émettre pour le domaine concret.

N'hésitez pas à demander un devis sans engagement.

Choisir et configurer le client

La plupart des utilisateurs commence avec le client Certbot. Ce client est facile à utiliser et c'est surement un bon choix. La majorité de clients est conçu pour les serveurs Linux ou d'autres plates-formes similaires, et pratiquement aucun n'a interface graphique (GUI). Les clients ACME sont configurés dans l'interface en ligne de commande.

Il y a aussi d'autres options disponibles pour pour Windows / Windows Server, mais le processus d'obtention et d'importation du certificat est souvent non terminé. La fonctionnalité la plus compliquée pour les clients ACME est l'importation des certificats dans IIS (binding). Certains clients proposent une interface utilisateur graphique (GUI), mais nous ne pouvons pas vous garantir s'ils fonctionnent et surtout s'ils fonctionneront avec l'implémentation ACME de DigiCert.

Nous avons décidé de vous recommander le client win-acme qui est compatible avec les certificats DigiCert, et capable de terminer l'installation des certificats. Pour le télécharger, cliquez ici.

Comment configurer et utiliser win-acme

Pour s'authentifier sur le win-acme, l'utilisateur de SSLmarket doit entrer la clé que nous lui fournissons via son espace client.

Téléchargez win-acme sur leur site officiel et ouvrez-le. Ne lancez pas encore le programme et ouvrez le fichier setting.json. Dans ce fichier texte, renommez les trois url ACME (dans la section "Acme") à "https://acme.digicert.com/v2/acme/directory/" - pour assurer la communication du logiciel avec ACME DigiCert.

Maintenant, vous pouvez exécuter le fichier wacs.exe. Microsoft Defender SmartScreen signalera probablement un avertissement de sécurité, parce que le package d’application n’est pas signé. Cliquez sur continuer quand même.

win-acme au démarrage
win-acme au démarrage

Après le démarrage de l'application, définissez les informations ACME credentials. Sélectionnez O (More options), et A (Acme details). Le programme vous demandera d'entrer Key Identifier, et Key en Base64. Ces données nommé KID et HMAC key vous seront livrées par sslmarket. Entrez d'abord la donnée plus courte, puis plus longue. Ensuite, retournez au menu principal.

Vous pouvez procéder à la délivrance du certificat. Sélectionnez N pour la création d'un nouveau certificat. Suivez l'assistant qui récupère les données du Sites dans IIS. Sélectionnez le site web que vous allez sécuriser avec un certificat.

Indiquez d'abord le site Web à analyser, win-acme obtient le nom d'hôte du IIS. Confirmez y(es) ou n(o). L'option par défaut est toujours écrit en couleur. Win-acme bot affiche les liaisons des sites qui l'a trouvé. Sélectionnez et confirmez. Vous pouvez confirmer la sélection par défaut (par exemple si vous n'avez qu'un seul site dans IIS).

win-acme se connecte au serveur de Digicert via le protocole ACME et tente d'obtenir le certificat. Rappelons que le type de certificat et son propriétaire est déterminé par les clés ACME générées chez SSLmarket.

Le certificat devrait être émis dans quelques seconds. Le nouveau certificat est défini pour le domaine sélectionné dans IIS. Vous n'avez donc pas à importer le certificat et à configurer les liaisons (Bindings).

L'image ci-dessous montre la confirmation de l'émission du certificat et son attribution au domaine. Le certificat est actif et sécurise le domaine.

Confirmation du processus de génération du certification et de l'importation
Confirmation du processus de génération du certification et de l'importation

En ce qui concerne le renouvellement du certificat, win-acme s'occupe de tout. Il crée un événement sur le serveur/poste qui est vérifié quotidiennement et tous les certificats arrivant à expiration seront renouvelés.

Conclusion

Le protocole ACME est un outil puissant pour automatiser le cycle de vie des certificats. N'hésitez pas à nous contacter pour toute information supplémentaire, il vous permet d'économiser des heures voire des journées de travail. Pour en savoir plus et obtenir une URL de répertoire ACME, contactez notre support SSLmarket.