Exemple de configuration serveur - Windows 2008 Server et IIS

Cet exemple précise les différentes étapes pour paramétrer un serveur IIS sur Windows 2008 Server, autorisant une identification en mode Digest au travers d’une connexion SSL (certificat serveur généré via la PKI du firewall).

Notez que pour pouvoir activer SSL dans IIS, le serveur doit être membre d’un domaine Active Directory.

A l’aide de l’explorateur de fichiers Windows, créez dans l'arborescence Web le répertoire destiné à recevoir les sauvegardes automatiques (exemple : c:\inetpub\wwwroot\autobackup).

Dans la console Utilisateur et ordinateurs Active Directory, créez un utilisateur dédié aux sauvegardes automatiques.

Dans cet exemple, le compte utilisé s’appelle autobackup et appartient au groupe Autobackup Allowed Users spécifiquement créé pour cet usage. Les droits d’écriture sur le répertoire dédié aux sauvegardes pourront être définis dans le paramétrage du site WebDAV.

  1. S’il n’est pas déjà installé, ajoutez le rôle IIS depuis la console Server Manager (menu Ajout de Rôles > Rôles de serveurs > Serveur Web (IIS)) :

  1. Lors de l’installation du rôle IIS, ou en sélectionnant l’option Ajouter des services de rôles pour le rôle Serveur Web (IIS) dans la console Gestionnaire de serveur, cochez les options suivantes :

Serveur Web

|----- Fonctionnalités HTTP communes
|             |----- Publication WebDAV
|----- Sécurité
|             |----- Authentification de base
|             |----- Authentification Digest
|----- Outils de gestion
|             |----- Service de gestion

Dans cet exemple, le site utilisé pour recevoir et stocker les sauvegardes n'est pas Default Web Site, mais un site dédié nommé autobackup, dont le répertoire de base est situé sous la racine de Default Web Site (c:\inetpub\wwwroot).

  1. Lancez la console Gestionnaire des services Internet (IIS).
  2. Faites un clic droit sur Default Web Site.
  3. Choisissez l’option Ajouter un répertoire virtuel.

  1. Dans le champ Alias, choisissez le nom donné à votre site (exemple : autobackup); l’adresse du site prendra la forme https://nom_server.company.com/alias.
  2. Dans le champ Chemin d’accès physique, sélectionnez (ou créez) le répertoire physique correspondant à votre site virtuel (exemple : c:\inetpub\wwwroot\autobackup).
  3. Faites un clic droit sur votre site
  4. Sélectionnez l’option Modifer les autorisations pour donner au groupe d’utilisateurs dédiés les droits d’écriture sur le répertoire physique de stockage des sauvegardes.
  5. Dans l’onglet Sécurité, cliquez sur Modifier.
  6. Sélectionnez le groupe d’utilisateurs (exemple : Autobackup Allowed Users).
  7. Cochez les cases Modification et Ecriture.
  8. Validez.

  1. Dans la console Gestionnaire des services Internet (IIS), sélectionnez votre site (autobackup dans l’exemple).
  2. Faites un double clic sur l’icône Exploration de répertoire.
  3. Dans le panneau de droite (Actions), cliquez sur Activer.

Les fichiers de sauvegarde sont cryptés et possèdent une extension « .enc ». Cette extension n’étant pas connue du serveur IIS, il est nécessaire de la définir afin que le serveur sache quelle action réaliser lorsque vous cliquez sur le lien correspondant à une sauvegarde (exécuter le fichier, proposer l’ouverture ou le téléchargement, etc.).

  1. Dans la console Gestionnaire des services Internet (IIS), sélectionnez votre site (autobackup dans l’exemple).
  2. Faites un double clic sur l’icône Types MIME.
  3. Dans le panneau de droite (Actions), cliquez sur Ajouter.
  4. Dans le champ Extension du nom de fichier, indiquez ".enc."
  5. Dans le champ Type MIME, précisez application/octet-stream.
  1. Dans la console Gestionnaire des services Internet (IIS), sélectionnez le site Default Web Site.
  2. Faites un double clic sur l’icône Règles de création WebDAV :

  1. Dans le panneau de droite (Actions), cliquez sur Activer WebDAV :

  1. Dans la console IIS, sélectionnez votre site (autobackup dans l’exemple).
  2. Faites un double clic sur l’icône Règles de création WebDAV.
  3. Dans le panneau de droite (Actions), cliquez sur Ajouter une règle de création.
  4. Pour cette règle, cochez les options : Tous les contenus, Tous les utilisateurs et les autorisations : Lecture, Source, Ecriture.

  1. Dans la console Gestionnaire des services Internet (IIS), cliquez sur votre site.
  2. Faites un double clic sur l’icône Authentification.

  1. Activez Authentification de base et Authentification Digest.
  2. Désactivez Authentification anonyme.

  1. Sélectionnez Authentification Digest.
  2. Dans le panneau de droite, cliquez sur Modifier pour préciser le domaine Active Directory du serveur (documentation.mycompany.com dans l’exemple).

  1. Validez.

Sur le firewall hébergeant la CA utilisée pour les sauvegardes automatiques :

  1. Allez dans le module Configuration > Objets > Certificats et PKI.
  2. Créez un certificat serveur pour le serveur hébergeant les sauvegardes (menu Ajouter > Ajouter un certificat serveur).
  3. Sélectionnez ce certificat et exportez le au format PKCS12 (menu Téléchargement > Certificat au format P12).
  1. Dans la console Gestionnaire des services Internet (IIS), sélectionnez le nom du serveur.
  2. Faites un double clic sur l’option Certificats de serveur.

  1. Dans le panneau de droite (Actions), cliquez sur Import.
  2. Sélectionnez le certificat serveur.
  3. Renseignez le mot de passe associé.
    Le certificat apparaît alors dans le magasin de certificats IIS :

  1. Dans la console Gestionnaire des services Internet (IIS), cliquez sur le site Default Web Site.
  2. Sélectionnez l’option Liaisons dans le panneau de droite.
  3. Ajoutez une liaison avec les valeurs suivantes :
  • Type : https,
  • Adresse IP : l’adresse IP sur laquelle le serveur doit être joint en HTTPS,
  • Port : 443,
  • Certificat SSL : le certificat serveur importé.

  1. Dans la console Gestionnaire des services Internet (IIS), cliquez sur votre site.
  2. Faites un double clic sur l’icône Paramètres SSL.
  3. Cochez la case Exiger SSL.
  4. Appliquez.