🔐 GĂ©nĂ©rer un certificat SSL avec OpenSSL compatible Windows Server 2008 R2 (PFX inclus)

Besoin d’un certificat SSL signĂ© pour IIS ou une application sous Windows Server 2008 R2 ? Dans cet article, nous allons dĂ©tailler Ă©tape par Ă©tape la gĂ©nĂ©ration d’une CSR (Certificate Signing Request), la crĂ©ation d’un certificat signĂ© par une autoritĂ© (interne ou publique), et surtout la conversion en format .pfx compatible Windows 2008.

⚙ PrĂ©requis

  • Un poste Linux avec openssl installĂ© (ou WSL, ou macOS)
  • Un serveur Windows 2008 R2 (IIS ou autre)
  • Une autoritĂ© de certification interne ou publique (ex : Active Directory Certificate Services)

📄 Étape 1 : PrĂ©parer un fichier de configuration OpenSSL avec SAN

Crée un fichier nommé cert.conf pour définir le Common Name (CN) et les Subject Alternative Names (SAN), obligatoires avec les navigateurs modernes.

[ req ]
default_bits       = 2048
prompt             = no
default_md         = sha256
req_extensions     = req_ext
distinguished_name = dn

[ dn ]
CN = monserveur.domaine.local
O = Organisation
OU = Unité
L = Ville
C = FR

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = monserveur.domaine.local
DNS.2 = www.monserveur.local

🔑 Étape 2 : GĂ©nĂ©rer la clĂ© privĂ©e et la CSR

openssl genrsa -out serveur.key 2048
openssl req -new -key serveur.key -out serveur.csr -config cert.conf

âžĄïž Tu obtiens :

  • serveur.key → clĂ© privĂ©e (Ă  garder secrĂšte)
  • serveur.csr → demande Ă  faire signer par l’autoritĂ©

🔐 Étape 3 : Faire signer la CSR

Tu peux :

  • đŸ“„ Envoyer la CSR Ă  une autoritĂ© publique (Let’s Encrypt, Gandi, DigiCert
)
  • 🌐 Soumettre la CSR via une autoritĂ© interne Windows Ă  l’URL https://nom_CA/certsrv

✅ Exemple avec /certsrv :

  1. Va sur https://srv-ca/certsrv
  2. Clique sur « Demande avancĂ©e Â»
  3. Colle le contenu de serveur.csr
  4. SĂ©lectionne le modĂšle : Serveur Web

âžĄïž Tu reçois un fichier .cer (certificat signĂ©)

📩 Étape 4 : GĂ©nĂ©rer un fichier .pfx compatible Windows Server 2008 R2

Windows Server 2008 R2 ne supporte pas les derniÚres méthodes de chiffrement pour les fichiers .pfx générés avec OpenSSL. Il faut donc utiliser des paramÚtres compatibles (3DES + SHA1) :

openssl pkcs12 -export \
  -inkey serveur.key \
  -in serveur.cer \
  -certfile rootCA.crt \
  -out serveur-w2008.pfx \
  -keypbe PBE-SHA1-3DES \
  -certpbe PBE-SHA1-3DES \
  -macalg sha1

🔑 Un mot de passe d’export te sera demandĂ© → note-le, il sera requis Ă  l’import.

đŸ› ïž Étape 5 : Importer le certificat sur Windows Server 2008

Comme certlm.msc n’existe pas sur Windows Server 2008 R2 :

Option A : via la console MMC

  1. Lance mmc
  2. Fichier → Ajouter un composant logiciel enfichable → Certificats → Compte d’ordinateur
  3. Va dans Personnel → Certificats
  4. Clic droit → Importer → Choisis le fichier .pfx

Option B : via certutil

certutil -f -p "MotDePasse" -importpfx serveur-w2008.pfx

🌐 Étape 6 : Lier le certificat à un site IIS

  1. Ouvre inetmgr
  2. Clique sur ton site Web
  3. Dans le panneau de droite, clique sur Liaisons
  4. Ajoute une liaison HTTPS sur le port 443
  5. Sélectionne ton certificat importé

✅ VĂ©rifier le certificat en ligne de commande

openssl x509 -in serveur.cer -text -noout
openssl pkcs12 -info -in serveur-w2008.pfx

🔒 Bonnes pratiques

  • Ne jamais envoyer .key ou .pfx non chiffrĂ©s par mail
  • Utiliser chmod 600 pour restreindre l’accĂšs Ă  la clĂ© privĂ©e
  • Stocker les fichiers dans un dossier sĂ©curisĂ©
  • Renouveler les certificats avant expiration (surveillance Zabbix/Nagios/GLPI
)

📌 Mots-clĂ©s SEO

openssl certificat pfx, générer certificat windows 2008, openssl pfx compatible iis, tls windows server 2008, csr openssl avec san, iis ssl openssl, créer certificat pour iis, certutil importer pfx, openssl windows legacy, certificat ssl internal CA

Étiquettes

Publications similaires