Configuration : Décharge SSL
Le but de la décharge SSL est de publier un site à l’aide d’ARR en HTTPS et de faire communiquer le serveur ARR avec le serveur web en HTTP. Cette solution permet de décharger le serveur Web du cryptage.
Installation du certificat sur le serveur ARR
ARR étant lié à un seul site (Défault Web Site) sur IIS, si plusieurs domaines doivent être pris en charge, il est nécessaire d’avoir un certificat de type SAN.
Pour le tutoriel, j’ai généré un certificat autosigné en *.rdr-it.intra pour couvrir l’ensemble des sous-domaines. Vous trouverez ici un générateur de certificat autosigné.
Aller à la racine de la console IIS 1 puis sur Certificats de serveur 2.
Cliquer sur Importer 1 dans le menu Actions. Sélectionner le certificat au format pfx 2, entrer la clé privée (mot de passe) 3, choisir le magasin de stockage 4 (Hébergement Web) et cliquer sur OK 5.
Le certificat est importé 1>.
Afficher la liste des sites disponibles sur le serveur en cliquant sur le dossier Sites 1, sélectionner le site par défaut 2, faire un clic droit dessus et cliquer sur Liaisons … 3.
Cliquer sur le bouton Ajouter 1.
Type de liaison choisir https 1, sélectionner le certificat 2 puis appuyer sur le bouton OK 3.
La liaison HTTPS est ajoutée 1. Quitter en cliquant sur Fermer 2.
Configuration des règles de réécriture – routage
Aller sur la page de gestion des règles de réécriture.
Ajouter une nouvelle règle depuis le menu Action en cliquant sur Ajouter des règles 1, choisir Règle vide 2 puis cliquer sur OK 3.
Nommer la règle 1, cliquer sur Conditions 2 pour développer l’option, ajouter les deux règles 3 (la première vérifie que l’appel est fait en https et le second limite au domaine). Dans la partie Action, sélectionner le schéma 4 puis la batterie de serveurs 5 et cliquer sur Appliquer 6.
Retourner sur la liste des règles, elle est ajoutée 1.
Lancer un navigateur et accéder au site en https.
Comment on peut le voir ci-dessous, il n’y a pas de liaison SSL sur le site IIS A>.
Pour forcer l’accès en HTTPS (SSL), il est nécessaire d’ajouter avant la règle de décharge, une règle qui fait une redirection 301 HTTP vers HTTPS.