[SharePoint 2013] – Configurer SSL pour SharePoint 2013

Posted on Updated on

 

Bonjour à tous.

Aujourd’hui un article pour vous montrer comment configurer SSL pour utiliser SharePoint 2013 avec des url https et sécuriser l’accès à vos contenus.

Je précise que dans mon cas, je vais utiliser un certificat de type “Self Signed” et donc à utiliser exclusivement pour des plateformes de développement. Pour les environnements de production, il faudra utiliser un certificat “commercial” acquis par exemple auprès de Verisign ou un autre organisme.

Dans ma configuration, j’ai un serveur d’annuaire (Windows Server 2008 avec le Rôle Active Directory) et mon serveur SharePoint (Windows Server 2008R2 SP1, SQL Server 2012 et SharePoint Server 2013 Enterprise).

Voici comment faire pour configurer les différents éléments :

 

1/ Créer un certificat Self Signed & l’exporter

 

Pour cela, nous allons utiliser une fonctionnalité de IIS (7 dans mon cas) permettant de générer des certificats auto-signés.

Nous allons commencer par lancer la console d’administration de IIS (sur le serveur SharePoint), soit en explorant le menu démarrer, soit en exécutant la commande “inetmgr”. Pennons le second cas : cliquer sur “Démarrer > Exécuter > inetmgr” :

image

Puis nous allons cliquer sur le nœud dans l’arborescence portant le nom du serveur SharePoint (SP2013-DEV dans mon cas), et enfin double-cliquer sur l’icône “Server Certificates” dans la zone centrale :

image

 

Sur cet écran, nous allons cliquer sur “Create Self-Signed Certificate…” :

image

 

Dans l’écran suivant, nous allons donner un nom à notre certificat, ici “SharePointCertificate” et cliquer sur OK :

image

Le certificat est maintenant créé. Nous allons maintenant l’exporter dans un fichier. Pour cela, on double-clique sur le nouveau certificat dans la zone centrale :

image

 

Nous allons cliquer sur l’onglet “Details” :

image

 

Et cliquer sur le bouton “Copy To File…” en bas :

image

L’écran d’accueil apparait. On clique sur “Next” :

image

 

Dans l’écran suivant, on conserve le paramètre “No, do not export the private key” et on clique sur “Next” :

image

Ici encore on conserve le paramètre par défaut “DER encoded binary X.509 (.CER)” et on clique sur “Next” :

image

Nous allons ensuite indiquer le chemin où sauvegarder le fichier généré. Dans mon cas je le place sur le Bureau, dans un répertoire nommé “SharePoint Certificate” et le fichier sera nommé “SharePointCertificate.cer”. On clique sur “Next” :

image

 

L’assistant nous affiche le récapitulatif. On clique sur “Finish” :

image

 

L’export est terminé :

image

 

2/ Importer le certificat dans le magasin

 

L’étape suivante consiste à importer le certificat tout juste exporté dans le magasin de certificats du serveur SharePoint.

Pour cela, nous allons lancer une nouvelle console pour les Snap-ins de Windows Server 2008R2 : “Démarrer > Exécuter”. Taper “mmc” et cliquer sur “OK” :

image

La console se lance. Dans “File”, sélectionner “Add/Remove Snap-in…” :

image

Dans la fenêtre apparaissant, sélectionner “Certificates”, et cliquer sur “Add >” :

image

Une fenêtre se lance, sélectionnez “Computer Account” et cliquer sur “Next” :

image

 

Dans l’écran suivant, conserver les paramètres et cliquer sur “Finish” :

image

 

Le Snap-in est bien ajouté, on clique sur “OK” :

image

 

On navigue ensuite dans l’arborescence : Certificates > SharePoint > Certificates :

image

On sélectionne le nœud “Certificates”, clic-droit > All Tasks > Import… :

image

L’assistant se lance, on clique sur “Next” :

image

 

On sélectionne le certificat exporté à l’étape précédente et on clique sur “Next” :

image

 

On conserve les paramètres (vérifier que l’on ait bien “SharePoint” dans le champ “Certificate Store”), “Next” :

image

 

On termine l’import “Finish” :

image

image

On peut maintenant fermer cette console.

 

 

3/ Ajouter le certificat dans l’administration centrale de SharePoint

 

NB : Dans le cas d’un serveur unique, cette étape n’est pas requise.

Nous allons maintenant charger le certificat dans la console d’administration centrale de SharePoint. SharePoint va principalement utiliser ce certificat afin de crypter et signer les échanges entre les serveurs de la ferme (sinon vous aurez des erreurs dans les logs SharePoint).

 

On lance donc le site dans le navigateur et on se rend sur la page : “Security > Manage Trust” :

image

 

Dans la page suivante, on retrouve le certificat utilisé nativement par SharePoint, nous allons ajouter notre certificat en cliquant sur “New” dans le ruban :

image

 

Nous allons ici renseigner le nom (dans mon cas j’ai choisi “SharePointCertificate”) et parcourir le disque local pour retrouver le certificat exporté dans la première étape :

image

On valide le formulaire et le certificat est ajouté :

image

Vous pouvez également automatiser cette configuration avec PowerShell (Management Shell pour SharePoint) :

  • $certificate = new-object system.security.cryptography.x509certificates.x509certificate2(“C:\\User\………\SharePointCertificate.cer”)
  • New-SPtrustedrootauthority –name “SharePointCertificate” –certificate $certificate

 

Etape suivante, configurer les bindings dans IIS

 

4/ Configurer les bindings dans IIS 7

 

Nous allons maintenant indiquer à IIS qu’il doit utiliser un binding https sur l’application Web SharePoint. J’ai bien sûr créé au préalable une Application Web sur le port 80 et une collection de sites.

Nous reprenons donc la console d’administration IIS (inetmgr) et on se rend sur l’application Web du port 80, et on clique sur “Bindings” dans la zone de droite :

image

La fenêtre des Bindings apparait, on clique sur “Add…” :

image

 

Nous allons ajouter un binding en https sur le port 443 (par défaut) et utilisant notre certificat. On clique sur “OK” :

image

Le nouveau binding est ajouté :

image

On ferme la fenêtre avec le bouton “Close”.

 

Dernière étape, configurer les Alternate Access Mapping (Mappage d’Accès de Substitution) dans l’administration centrale de SharePoint.

 

 

5/ Configurer les Alternate Access Mappings

 

Pour configurer ces AAM, on se rend dans la console d’administration centrale de SharePoint, sur la page d’accueil sur “Configure Alternate Access Mapping” :

image

La liste des AAM apparait. On utilise le contrôle permettant de sélectionner une Web Application sur la droite et on choisit celle sur le port 80 :

image

image

On clique ensuite sur “Add Internal Urls” et on ajoute notre url en https, sur la zone default (dans mon cas https://sp2013-dev) et on valide :

image

image

NB : Les deux urls : http et https cohabitent sur la même zone, cela nous permettra d’accéder en http au contenu depuis le réseau local (LAN) et en https depuis l’extérieur (WAN) moyennant d’avoir configurer le reverse proxy (ForeFront Threat Management Gateway, ISA, F5, etc.)… mais ça c’est une autre histoire !

Si vous n’avez qu’un mode d’accès souhaité (https pour tout le monde, vous pouvez ajouter l’url en https dans les Public Urls, sur la zone Extranet par exemple.

 

 

6/ Tests !

 

Nous allons maintenant tester notre configuration. Pour cela, j’utilise un navigateur en entrant l’adresse en https de ma collection de site : https://sp2013-dev :

image

Non ce n’est pas une erreur ! En effet, nous utilisons un certificat Self-Signed, et le navigateur ne fait pas l’approbation par défaut. On clique sur “Continue to this website…” dans le centre de la page :

image

Voila ça fonctionne !

Advertisements

One thought on “[SharePoint 2013] – Configurer SSL pour SharePoint 2013

    Stats de fin d’année 2013 « Florent Cazenave said:
    8 January 2014 at 12:29

    […] [SharePoint 2013] – Configurer SSL pour SharePoint 2013 […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s