Tutoriel 📝 Corriger les alertes de sécurité sur sites internes avec certificats

[Sylvain*]

Corriger les alertes de sécurité sur sites internes avec certificats

Introduction

Sur Windows 10 et Windows 11, les navigateurs web peuvent marquer les sites internes (intranet, services locaux) comme non sécurisés à cause de certificats SSL/TLS invalides ou auto-signés. Ce problème est fréquent dans les environnements sans autorité de certification publique. Ce guide présente des solutions pour générer, installer et faire reconnaître les certificats pour des services web locaux.

---

Prérequis

• Connaissance de base des certificats numériques et SSL/TLS

• Familiarité avec PowerShell ou l’outil MMC

• Droits d’administrateur local requis

---

Différentes Approches

• Approche #1 : Générer un certificat auto-signé avec PowerShell

• Approche #2 : Installer le certificat dans le magasin racine via MMC

• Approche #3 : Créer une autorité interne avec Active Directory Certificate Services

---

Niveau de difficulté

• Approche #1 : Facile

• Approche #2 : Moyen

• Approche #3 : Avancé

---

Les Avantages

• Approche #1 : Rapide et local

• Approche #2 : Reconnaissance automatique dans l’environnement local

• Approche #3 : Intégration avec le domaine et déploiement automatisé

---

Les Inconvénients

• Approche #1 : Non reconnu par défaut par les navigateurs

• Approche #2 : Doit être appliqué sur chaque poste

• Approche #3 : Nécessite un environnement AD et un serveur

---

Approche #1

Ouvrir PowerShell en mode administrateur

Générer un certificat auto-signé

New-SelfSignedCertificate -DnsName "intranet.local" -CertStoreLocation "Cert:\LocalMachine\My"

Exporter le certificat si besoin avec clé privée

Export-PfxCertificate -Cert "Cert:\LocalMachine\My<Thumbprint>" -FilePath "C:\certificat.pfx" -Password (ConvertTo-SecureString -String "motdepasse" -Force -AsPlainText)

---

Approche #2

Lancer la console MMC avec

mmc

Fichier > Ajouter un composant logiciel enfichable > Certificats > Ordinateur local

Importer le certificat dans Autorités de certification racines de confiance

Redémarrer le navigateur web

---

Approche #3

Installer le rôle Active Directory Certificate Services sur un serveur Windows Server

Créer un modèle de certificat adapté au service web

Demander le certificat depuis un poste client via certreq ou MMC

Déployer via GPO pour une reconnaissance automatique

---

Astuce

Utilisez un nom DNS interne valide avec New-SelfSignedCertificate pour éviter les erreurs de nom d’hôte dans les navigateurs.

---

Mise en garde

N’utilisez pas de certificats auto-signés en production publique : ils ne garantissent pas la confiance par des tiers.

---

Conseil

Conservez tous les certificats dans un dossier sécurisé avec dates d’expiration documentées pour éviter les interruptions.

---

Solution alternative

• XCA générer certificats SSL locaux

• mkcert certificats locaux Windows

• Let's Encrypt certificats auto-hébergés intranet

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Github

---

Conclusion

L'erreur "site non sécurisé" pour des services internes provient souvent de l’usage de certificats non reconnus. Grâce aux approches présentées, vous pouvez générer et installer des certificats fiables pour vos services locaux. L’intégration d’une autorité de certification interne offre une solution pérenne et compatible avec tous les navigateurs dans un environnement d’entreprise.