Solutions Serveur pour TPE/PME : Certificat

Connexion VPN en SSTP sur un serveur Small Business Server 2008

pierrc — Sun, 05 Jul 2009 23:20:00 GMT

Les connexions VPN en SSTP sur SBS 2008 c'est possible ! :-)

Vous avez des abonnements avec des opérateurs qui vous bloquent les connexions VPN en filtrant le port TCP 1723 (PPTP) ou UDP 500,4500,1701 (L2TP/IPsec), vous pourrez quand même vous connectez en VPN sur votre serveur SBS 2008 à l'aide du protocole Secure Socket Tunneling Protocole sur du TCP port 443, c'est à dire au travers de tous pare-feu. Pour en savoir un peu plus : http://technet.microsoft.com/en-us/magazine/2007.06.cableguy.aspx

Avant de commencer le paramétrage , il faut être à jour au niveau du serveur comme du client et surtout faire une sauvegarde de votre serveur. Attention pour les connexions en SSTP, il faut avoir au minimum un client Windows Vista SP1 !

Comme vous avez pu le voir, dans le lien plus haut, une connexion SSTP s'appuie sur une session "HTTP over SSL" donc l'installation et le paramétrage du certificat "authentification du serveur" "remote.mon-domaine-pulic.com" sur le serveur SBS 2008 doit être correcte. Normalement, tout cela a été installé automatiquement lors de l'assistant "configurer votre adresse internet".

C'est le même certificat qui nous servira à nous connecter en SSTP et en HTTPS avec le server IIS

N'hésitez pas à aller dans la console pour "checker" votre réseau et lancer l'assistant "Réparer mon réseau" pour fixer les problèmes éventuels.

Si vous n'avez pas acheté un vrai certificat :-) auprès d'une autorité tiers ( VeriSign, Twate, Godaddy .....), les clients doivent "truster l'autorité du certificat" qui est en fait le serveur de certificat dans SBS 2008.

Les clients membres du domaine SBS "trustent" l'autorité du certificat de SBS.

Pour les clients non membres du domaine ou PDA, il existe un utilitaire (C:\Users\Public\Downloads sur le serveur SBS ) pour installer le certificat de l'autorité de certificat ...

Il est beaucoup plus simple d’acheter un vrai certificat auprès d’une autorité de certification tiers. Il existe un assistant pour faire la demande et l’installation correctement.

Pour vérifier que l’installation du certificat est correcte, connectez vous à distance avec un client sur le site https://remote.mon-domaine.com. Si tout est correct il restera deux étapes.

1) Dans un premier temps il faut paramétrer le service RRAS du serveur SBS pour les connexions VPN :

le plus simple c'est d'aller dans la console de SBS 2008 et de lancer l'assistant

A la fin de l'assistant , cinq entrées PPTP seront créées, mais aucune pour les connexions SSTP entrantes.

Pour paramétrer les connexions SSTP entrantes:

-> Outils d'administration -> Routage et accès distant

-> Clic droit sur Ports -> sélectionnez Wan Miniport [SSTP] -> Configurer ...->

Mettre le nombres de connexions entrantes souhaitées et cochez l'option "Connexions d'accès à distance entrantes"

2) Dans un deuxième temps, il restera à paramétrer le certificat pour la connexion SSTP. -Par chance les connexions SSL du serveur IIS et les connexions en SSTP cohabitent :-) ! Il faut passer par des commandes "netsh" de manière à pouvoir “binder le certificat " authentification du serveur" "remote.mon-domaine-pulic.com" pour le service SSTP de RRAS.

Pour bien comprendre :

En lançant une "invite de commandes" avec les droits administrateur puis la commande "netsh http show sslcert" on voit :

la partie " Port IP : 0.0.0.0:443" => correspond à l'adresse IP et le port d'écoute du serveur IIS
la partie "Hachage du certificat : 510072587d6bd6203c6cbaca3d29753f8bb4b0a8" => correspond au hash du certificat "remote.mon-domaine.com" .Pour vérifier le hash du certificat il suffit de lancer une console "mmc " certificats -> compte ordinateur et sélectionner le certificat "remote.mon-domaine.com" -> "empreinte numérique".

la partie " ID de l'application : {4dc3e181-e14b-4a21-b022-59fc669b0914}" => correspond à l'URI (Uniform Resource Identifier) de IIS 7. Sachant que les connexions SSTP sur RRAS utilisent un URI unique {BA195980-CD49-458b-9E23-C84EE0ADCD75}(cela peut être vérifié dans la base de registre HKLM\ System\ CurrentControlSet\ Services\ Sstpsvc\ Parameters\ ServerURI)

Pour binder le certificat, pour les connexions SSTP, lancer les commandes suivantes

· “netsh http delete sslcert ipport=0.0.0.0:443”

· “netsh http add sslcert ipport=0.0.0.0:443 certhash=510072587 d6bd6203c6cbaca3d29753f8bb4b0a8 appid={ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename=MY”

Pour vérifier que cela à bien fonctionner lancer la commande “netsh http show sslcert” et vérifier l‘URI SSTP (ID de l’application) ainsi que le hash du certificat

Relancer les services IIS et RRAS et c’est terminé pour ceux qui utilisent un certificat acquis auprès d’une autorité publique.

Pour ceux qui utilisent un certificat émis par l’autorité de certification de SBS il y aura un paramétrage (bidouillage) supplémentaire à faire sur les postes clients. En effet, avant d’établir la connexion, un client SSTP doit contacter la CRL (Certificate Revocation list) de l’autorité de certification.

Plus d’info : http://fr.wikipedia.org/wiki/Liste_de_r%C3%A9vocation_de_certificats

Regardons la CRL d’un certificat émis par l’autorité de certification de SBS :

Ceci veut dire que le client SSTP doit se connecter sur l’ URL “http://srv.mtam.local/CertEnroll/mtam-SRV-CA.crl” avant d’établir une connexion SSTP.

Pour joindre un serveur distant avec un nom FQDN en .local avec un poste connecté à internet, une seule façon, créer une entrée dans le fichier host du client:

Lancer une "invite de commandes" avec les droits administrateur
“notepad %windir%\system32\drivers\etc\hosts”
X.X.X.X (l’adresse IP public) mon-serveur-sbs.local

Il ne restera plus qu’à rendre disponible l’URL “http://srv.mtam.local/CertEnroll/mtam-SRV-CA.crl” sur le serveur SBS .

Menu “Démarrer” –> “Gestionnaire du serveur” –> “Services de certificats Active Directory”-> “ajouter des services de rôle”-> et “ Inscription de l’autorité de certification via le Web”

Ne pas oublier de paramétrer le port forwarding tcp 80 au niveau du routeur/pare-feu. Redémarrer les services IIS et RRAS et c’est terminé :-)

Pour paramétrer une connexion VPN en SSTP sur le poste client, rien de plus simple !

Bon tests !

Un grand merci à mon collègue Pascal Saulière pour le prêt de son serveur SBS pour les tests sans oublier Stanislas Quastana de m’avoir ouvert l’esprit sur la CRL :-)

Certificat web acheté ne fonctionnant pas avec ActiveSync avec votre Server Small Business Server 2008

pierrc — Wed, 08 Apr 2009 21:01:00 GMT

Si vous achetez un certificat Web “Rapid SSL” (http://www.trustico.fr) et que vous l’installiez sur votre server SBS 2008, cela risque de ne pas fonctionner sur certains PDA ou SmartPhone avec ActiveSync ou avec des connexions https sur votre serveur SBS 2008.

L’ autorité principale de confiance (root ca) est “ Equifax Secure Global eBusiness CA-1”.

C’est un certificat à racine unique, reconnu par tous les navigateurs de système d’exploitation.

Sur certains PDA ou SmartPhone “ Equifax Secure Global eBusiness CA-1” n’est pas installé dans le magasin de “Certificat Racine”. Voici une des méthodes pour l’installer simplement:

- allez sur une machine Windows(XP ou Vista) avec un profil administrateur

- lancez une console MMC /ajouter un composant logiciel enfichable …./ certificat/le compte de l’ordinateur

- une fois la console lancée –> Autorités de certification racines de confiance –> Certificats

- faites un clic droit sur le certificat “ Equifax Secure Global eBusiness CA-1”-> toutes les tâches –> exporter –> sélectionnez le format “Binaire codé DER X.509 (.cer) –> une fois le certificat exporté et sauvegardé sur votre disque il suffit de le copier sur votre PDA ( Câble, Carte SD ….).

- sur le PDA ou le SmartPhone il suffit sur le fichier export pour qu’il s’installe correctement dans le bon magasin.

Cette méthode ne fonctionne qu’ à partir de Windows Mobile 6 !

Certificat Web peu chers pour votre serveur Small Business Server 2008

pierrc — Sat, 28 Mar 2009 01:27:00 GMT

Voici un site ou vous allez pouvoir acheter un certificat Web (RapidSSL 15,60 € /an) qui fonctionne parfaitement avec tous les navigateurs et un certain grand nombre de smart phone. http://www.trustico.fr/

Pour installer tout cela dans SBS 2008 c’est ici :

http://blogs.technet.com/pierrc/archive/2008/11/17/quatri-me-assistant-dans-small-business-server-2008-ajouter-un-certificat-approuv-partie-4.aspx

Un grand merci à Stanislas pour l’information.

Quatrième assistant dans Small Business Server 2008 "Ajouter un certificat approuvé"-Partie 4

pierrc — Mon, 17 Nov 2008 09:29:00 GMT

Windows Small Business Server 2008 présente une nouveauté : l' installation du rôle " Services de certificats Active Directory" sur le serveur SBS . Maintenant, SBS fonctionne avec une Autorité de Certificat installée sur le serveur.

Par défaut le nom de l' Autorité de Certification est : "Nom_de_domaine_active_directory-Nom_du_serveur-CA". Si vous souhaitez avoir un nom différent il faudra passer par une installation de SBS avec un fichier réponse (pour plus d' informations http://blogs.technet.com/pierrc/archive/2008/10/08/installation-d-un-serveur-small-business-server-2008.aspx)

Ce qui veut dire que tous les clients, membres du domaine d' Active Directory du réseau SBS, trustent l' Autorité de certification du serveur SBS.

Il n' est possible de se connecter depuis une machine qui n' a pas été mise dans le domaine Active Directory :

- à une machine sur le réseau (poste de travail web à distance/ Terminal Services Gateway)

- au Sharepoint

- en Outlook Anywhere

Pour pouvoir se connecter en SSL avec une machine extérieure au domaine, il faut obligatoirement truster l' autorité de Certificat de SBS. Pour cela il existe un utilitaire qui permet de le faire soit sur un PC soit sur un PDA (à partir de Windows Mobile 6). Pour cela il faut être administrateur local du PC.

Vous pouvez le trouver \\mon_server_sbs\public\download

Si les conditions ci dessus ne sont pas remplies ( vous n' êtes administrateur local du PC ou le PC ne truste pas l' autorité de certification)

Il faut acheter un certificat Web auprès d' une autorité tierce de certification et l' installer sur le serveur Web de SBS. Pour cela SBS 2008 à un assistant pour faciliter cette tâche.

Il suffit de lancer l' assistant :

Un "certreq" est créé avec la possibilité de le sauvegarder dans un fichier "SBSCertRequest.txt"

Une fois le "CerReq"créé il suffira de l' envoyer à l' Autorité tierce de Certification de votre choix .

Une fois votre certificat reçu.

Il suffira de relancer l' assistant :

Faire un "copier coller" de votre certificat

Et c' est terminé :-)

Deuxième assistant dans Small Business Server 2008 "Configurer votre adresse Internet"-Partie 2

pierrc — Thu, 13 Nov 2008 18:07:00 GMT

L' assistant "Configurer votre adresse Internet" est un assistant qui paramètre toute la gestion du domaine public avec le serveur Small Business Serveur comme :

- l' achat de domaine, transfert de domaine ...

- le paramétrage du site "Poste de travail web à distance"

- le paramétrage de la gestion du domaine public avec Exchange

- le paramétrage du routeur (port forwarding) s'il est UPnP

- la création d'une zone DNS principale (active directory)

- la création du certificat web pour les connexions SSL (Https) des utilisateurs mobiles (Poste de travail Web à distance, Outlook Anywhere, ActiveSync, Outlook Web Acces, Terminal Services Gateway ...)

Pour lancer cet assistant il suffit d' aller dans la console :

Une nouveauté dans Small Business Server 2008: si vous n' avez pas de nom de domaine public chez un fournisseur, vous pouvez à l' aide de cet assistant être re-dirigé chez trois fournisseurs de votre choix (~ 7 $ /an). De plus SBS à un client DynDns fonctionnant avec ces trois fournisseurs, donc plus besoin d' avoir une adresse IP fixe publique.

Attention ! on ne peut pas obtenir de ".fr"avec ces trois fournisseurs.

A l' aide de cet assistant, on vérifie la disponibilité du nom de domaine public, et on est re-dirigé vers le fournisseur de nom du domaine choisi.

Une fois le nom de domaine acheté, il suffit de remplir ces champs:

- le nom de domaine public

- le compte utilisateur chez votre fournisseur de nom ainsi que son mot de passe

Ces informations sont récupérées par le client DynDns de manière à ce que votre nom de domaine soit à jour avec votre adresse IP publique (par défaut la mise à jour est faite toutes les 10 minutes)

Après cet assistant, tout le paramétrage de la gestion de nom de domaine public a été effectué :

Un certificat Web a été créé auprès du serveur de certificat SBS, et il a été installé sur le server web .

La gestion du domaine public est paramétrée correctement dans Exchange 2007

Les règles de Port Forwarding ont été créées sur votre routeur UPnP:

- tcp 443 ( connexion ssl pour Outlook Anywhere, Active Sync, Terminal Service Gateway, owa)

- tcp 987 (publication du site Sharepoint)

- tcp 25 pour la messagerie

"J' ai acheté un nom de domaine chez "eNomCentral", toutes les entrées dans mon domaine public ont été paramétrées automatiquement." ( A,MX,TXT ..)

Une zone principale "remote.ma-tpe.biz" a été créé sur le serveur DNS de SBS .

Partie 5 - Installation d' un certificat auto signé (sans autorité principale de confiance) sur un PDA communiquant ou "SmartPhone" pour faire de L'ActiveSync en SSL

pierrc — Fri, 30 Nov 2007 14:12:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d' une solution de mobilité autour de Small Business Serveur"

Pour faire de l'ActiveSync en SSL entre un serveur SBS Premium (ISA Server) et un PDA communiquant ou SmartPhone avec un certificat auto signé , nous sommes obligés d' installer le certificat auto signé sur le PDA ou le SmartPhone.

S' il n' est pas installé voici le type d' erreur :-)

La première tâche à effectuer est de lancer "L assistant de configuration de la messagerie et de la connexion Internet"

En cochant sur "Outlook Mobile Access" l' assistant va configurer automatiquement toute la configuration Exchange/IIS nécessaire pour couvrir les scénarios :

- Outllook Mobile Access en SSL (mail dans explorer de PDA ou SmartPhone)

- ActiveSync en SSL ( Mails, Calendrier, Contacts, Tâches ...)

La deuxième tâche à effectuer est d' installer le certificat auto signé qui a été généré pendant "L assistant de configuration de la messagerie et de la connexion Internet"

Encore une fois "remote.ma-tpe.fr" doit matcher avec le nom FQDN public de votre serveur SBS.

La copie du certificat sur PDA en Windows Mobile 6

Pour effectuer, cette tâche nous allons devoir copier le certificat sur le PDA, le mieux est de prendre un ordinateur et se connecter sur votre "Poste de travail Web à distance" en https.

Exemple : https://remote.ma-tpe.fr/remote

Une fois connecté :

- soit le certificat est déjà installé sur votre ordinateur, il suffira de l' exporter via l' internet Explorer et de le copier dans votre PDA.

- soit le certificat n' est pas installé il faudra alors l' installer sur le PC , puis l' exporter via l' internet Explorer, et le copier dans le PDA . Voir ici la méthode pour installer le certificat .

Une fois le certificat exporté (sur le poste de travail), pour installer le certificat sur le PDA il faut installer pour :

les PCs avec Windows Vista le "Gestionnaire pour appareils Mobile"

les postes avec Windows XP "ActiveSync 4.5"

copie du certificat

installation du certificat en cliquant dessus

Par contre si vous êtes en Windows Mobile 2003 ou Windows Mobile 5 cette méthode (ci dessus) risque de ne pas fonctionner en fonction l' opérateur ou de votre matériel .

Il faudra alors vous procurer un logiciel qui soit capable d' éditer et de modifier la base de registre de votre PDA (ex : Pocket Controler -Pro) et de changer ces paramètres avant de lancer la procédure (ci-dessus)

Partie 4 - Installation d' un certificat Web avec une autorité principale de confiance dans une Version de Small Business Server Premium -

pierrc — Tue, 27 Nov 2007 22:16:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d' une solution de mobilité autour de Small Business Serveur"

Une fois que "L' assistant de configuration de la messagerie et de la connexion Internet" a été exécuté nous nous retrouvons avec deux Certificats Auto signés installés:

Un pour les connexions SSL Internet "ISACert" (remote.ma-tpe.fr) installé sur le port d' écoute d'Isa Serveur (SBS Web Listener) et l' autre SBSCert (publishing.ma-tep.local) pour les connexions SSL Interne.

Le but est donc d' acheter un certificat WEB auprès d' une autorité approuvée de type ( Verisign, Twate, UTN-USERFirst-Network Applications ....) et de l' installer sur le port d' écoute "SBS Web listener" de Isa Server afin de remplacer le certificat Web auto signé "ISACert".

Dans un premier temps nous allons effectuer une demande de certificat (CSR, Certificate Signing Request) à l' aide de l' assistant " Assistant Certificat de serveur Web" de IIS.

Au préalable, pour effectuer cette tâche à l' aide de cet assistant, nous devons sauvegarder le certificat "Publishing.ma-tpe.fr" installé dans IIS en l' exportant de manière à le ré-installer une fois la demande de certificat faite. Pour rappel il n' est pas possible de faire une demande de certificat avec un certificat déjà installé dans IIS...

Pour exporter (sauvegarde) le certificat "Publishing.ma-tpe.fr" :

Allez dans "Certificat de serveur"

Une fois la sauvegarde terminée, nous allons pouvoir supprimer le certificat publishing.ma-tpe.local avant de commencer notre demande de certificat . Il suffit de relancer l' assistant

Procédure pour faire notre demande de certificat à l' aide de l' assistant.

Important! Vous devez mettre dans ce champs le nom FQDN public de votre serveur SBS

ex : d' un poste internet nous lancerons https://remote.ma-tpe.fr

Une fois l' assistant terminé nous nous retrouvons avec un fichier "c:\certreq.txt" qui contient :

- notre requête avec toutes les informations saisies (nom de l' organisation, nom du site, infos

géographique etc ...)

- notre clé publique

En fonction de votre fournisseur il suffira d' envoyer le fichier "certreq.txt" ou de faire un "copier" "coller" dans le formulaire de votre fournisseur d' autorité ( Verisign, Twate, UTN-USERFirst-Network Applications ....)

Le fournisseur vous renverra un certificat soit *.cer ou sous cette forme (ci-dessous).

Pour faire simple , c' est notre demande de certificat signée avec la signature numérique du fournisseur d' autorité ....

A ce stade, il suffira simplement de copier tout ce contenu dans un notepad et de le sauvegarder en fichier *.cer

ex: ma-tpe.cer

Maintenant, il nous reste à installer ce certificat dans le bon magasin .

Et de l' installer sur le port d' écoute d'Isa Serveur (SBS Web Listener)

Pour finir nous devons remettre le certificat "publishing.ma-tpe.local" sur le site d' IIS de SBS (site Web par défaut)

Partie 3 - Certificat Web dans Small Business Serveur -

pierrc — Fri, 23 Nov 2007 02:33:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d' une solution de mobilité autour de Small Business Serveur"

Dans la version Standard de SBS un seul certificat web auto-signé est généré "sbscert.cer". Il servira aux connexions SSL internes et externes entre les postes et le serveur (remote.ma-tpe.fr; srvsbs.ma-tpe.local; srvsbs; localhost; companyweb ).

Ce Certificat est installé automatiquement sur les postes clients si l' on passe par l' assistant "ajout d' ordinateur"

Dans la version Premium de SBS deux certificats auto-signés sont générés :

- "SBSCert.cer" pour les connexions SSL internes entre IIS et les postes clients ( publishing.ma-tpe.local ; companyweb; srvsbs ; localhost; srvsbs.ma-tpe.local)

- "ISAcert.cer" pour les connexions SSL externes entre les postes clients et le port d' écoute d' ISA Serveur (remote.ma-tpe.fr)

Ces deux certificats sont installés automatiquement sur les postes clients si l' on passe par l' assistant "ajout ordinateur"

Il faut installer le ou les certificats manuellement sur les clients s' ils n' ont pas été déployés dans le domaine à l' aide de l' assistant.

il faudra aussi installer le ou les certificats manuellement sur les PDA ou les Smartphones si l' on veut mettre en oeuvre une solution de mobilité avec ActiveSync en SSL.

Pour installer un certificat manuellement sur un PC fonctionnant sous Windows Vista il faut lancer Internet explorer en mode "Executer en tant qu' administrateur".

Il faut installer le certificat dans "Autorités de certification racines de confiance"

partie 2 - L' assistant de configuration de la messagerie et de la connexion Internet -

pierrc — Thu, 22 Nov 2007 00:47:00 GMT

Slides des Universités Small Business Serveur "mise en oeuvre d'une solution de mobilité autour de Small Business Serveur"

L' assistant de configuration de la messagerie et de la connexion Internet est la première tâche à effectuer sur le serveur SBS il va nous aider à configurer :

- La connexion du serveur SBS sur Internet ( carte réseau, modem .... )

- Le pare-feu (RRAS et ISA Serveur pour les versions Premium)

- Les règles de flux entrantes sur la carte Externe du serveur (SMTP, PPTP, .... )

- Les règles de flux HTTP et HTTPS entrantes sur la carte Externe du serveur et les paramètres des sites de IIS

- la gestion d' un certificat Web pour les connexions SSL

- la gestion de la messagerie ( connecteur SMTP d'exchange, méthode de remise, relay SMTP, connecteur POP3, pièces jointes

Cet assistant SBS génère un fichier C:\Program Files\Microsoft Windows Small Business Server\config.vbs que l'on peut re-exécuter à tout moment .

Il est fortement recommandé d' utiliser une version de SBS Premium (ISA Serveur) pour connecter son serveur sur Internet . Pour la version standard c' est le composant RRAS de Windows 2003 qui gère la partie pare-feu donc:

- aucun contrôle des flux sortants

- pare-feu niveau 3 et 4

- compliqué pour récupérer les logs

Contrôle des flux entrants sur la carte externe de SBS (TCP 25, TCP 1723, TCP 3389, TCP 21)

Pour la version Standard les filtres sont créés dans RRAS

Pour la version Premium les règles des flux entrants sont créées dans Isa Serveur

Contrôle des flux HTTPs entrants sur la carte externe de SBS plus les paramètres des sites de IIS (restriction d' accès par adresse IP)

Pour la version Premium les règles de publication seront créées dans Isa Serveur

Si vous voulez mettre en oeuvre ActiveSync en SSL ou les RPC over HTTPs le nom du certificat doit absolument matcher avec le nom public de votre serveur SBS ...

Exemple, si je mets "remote.ma-tpe.fr " l' assistant va nous créer un certificat auto-généré sans autorités principales de confiance , bien évidemment remote.ma-tpe.fr doit pouvoir être résolu dans votre domaine public.

Comment sont envoyés les mails (connecteur SMPT d' Exchange ou un relais SMPT d'un FAI) ?

Important ! le nom du domaine de messagerie doit être votre nom de domaine public

exemple : ma-tpe.fr