Le certificat SSL

Introduction

Le certificat SSL permet d'accéder à un site Internet par l'intermédiaire du protocole https:// en plus du protocole http:// habituel.

Le protocole https:// sécurise la communication entre le navigateur de l'internaute et le site visité. Lorsque l'internaute saisie des informations sur le site sécurisé, ce transfert d'informations par Internet se fait en mode chiffré de manière que si un autre internaute “écoute/espionne” ce transfert d'information, il ne pourra pas en comprendre son contenu.

Il est alors inutile de sécuriser un site Internet qui ne dispose pas d'un formulaire d'authentification ou s'il ne contient pas des données sensibles à voler.

Sachez qu'un site Internet accessible en https:// n'est pas forcement un site de confiance. Il faut vérifier à qui a été délivré le certificat SSL et comparer cette identité avec l'adresse du site.

Le protocole https:// nécessite l’acquisition d'un certificat d'authenticité pour certifier que le site visité n'a pas été détourné. Ce certificat d'authenticité à une durée de vie ainsi qu'une configuration.

Obtenir un certificat SSL chez StartCom via StartSSL.com (par exemple)

La société StartCom propose un certificat gratuit ainsi que des certificats payants très bon marchés sur leur site https://www.startssl.com/. Cette société communique en anglais bien que leur première page soit en français pour présenter leurs offres et services.

Le certificat gratuit est à renouveler tous les ans et ne permet de certifier qu'une seule adresse d'un nom de domaine.

Les certificats payants sont à renouveler tous les 2 ans et peuvent certifier plusieurs adresses de plusieurs noms de domaine à partir de 59,90 $ USD / 2 ans (environs 50 euros).

Inscription

> StartSSL.com > Tool box > Sign-up

A la fin de l'inscription, il vous sera demandé de télécharger un fichier certificat personnel. Ce certificat est à installer sur votre navigateur Internet pour accéder à votre interface cliente. Ce fichier n'est surtout pas à perdre car on ne peut pas le récupérer, il est donc conseillé de le sauvegarder sur un lecteur portable (Clé USB par exemple).

StartCom vérifiera votre identité afin qu'elle soit valide.

  1. Complétez les champs proposés, choisissez votre région de résidence, si elle n'y figure pas, vous devez contacter StartCom via le lien “Send” en bas de page.
  2. Si vos informations sont complètes et exactes, cliquez sur “continuer”.
  3. Un avertissement apparait, il vous demande de confirmer que vous avez bien rentré vos propres informations et qu'elles sont correctes, si tel est le cas, cliquez sur “OK”.
  4. Un code de confirmation vous est envoyé par e-mail, ne fermez pas la fenêtre de votre navigateur, vous devrez copier-coller le code que vous aurez reçu dans le champ proposé sur la page de StartSSL, il ne faut pas trop tarder à le faire car le code envoyé par e-mail à une durée d'effet limitée.
  5. Cliquez ensuite sur “Continue »” une fois le code copié-collé.
  6. Un fichier vous sera proposé au téléchargement, comme expliqué plus haut, il constitue en quelque sorte votre clé pour vous connecter sur le site. La majorité des navigateurs internet actuels vous proposera d'installer automatiquement le certificat en cliquant simplement par exemple sur “OK” après lecture du message affiché. Si vous deviez changer d'ordinateur, vous devriez l'importer dans votre navigateur afin de pouvoir accéder de nouveau à votre compte. La clé USB constitue un bon élément de sauvegarde.

Connexion au Control Panel de StartSSL.com

L'interface cliente du site StartSSL.com est particulière car on s'y connecte non pas à l'aide d'un identifiant et d'un mot de passe mais à l'aide d'un certificat SSL que l'on installe préalablement sur son navigateur (voir ci-dessus).

Le certificat nécessaire pour vous connecter vous est proposé directement après votre inscription, vous n'aurez alors qu'à suivre ces étapes pour vous connecter : (vous pouvez aussi y accéder par : http://auth.startssl.com)

> StartSSL.com > Tool box > Authenticate

Validation de son identité

Pour demander un certificat de classe 1 (certificat gratuit), vous devez confirmer vos adresse e-mail et domaine, puis les faire valider par le personnel du site StartSSL. Ces formalités sont effectuées pendant la phase d'inscription.

Pour demander un certificat de classe 2 (certificat payant), il faut leur transmettre 2 pièces d'identité avec photo, exemple : carte d'identité + passeport. Des documents administratifs peuvent être demandés si vous représentez une entreprise par exemple.

Création Certificat SSL

Validation de l'adresse e-mail

Il est possible que cette étape soit déjà faite lors de votre inscription, pour cela, vérifiez à droite en cliquant sur “Email Validations” si votre adresse e-mail apparait à coté d'une encoche verte, si tel est le cas, passez directement à l'étape suivante.

Pour effectuer cette étape, vous devez être connecté préalablement grâce à la méthode décrite ci-dessus, y compris pour les étapes qui suivront. Les actions suivantes sont à effectuer depuis votre panneau de configuration de StartSSL.

  1. Cliquez sur le troisième onglet “Validation Wizard” en haut à gauche du panneau de configuration, une liste déroulante s'affiche, choisissez “Email Adress Validation”, puis Cliquez sur “Continue »”.
  2. On vous demande alors d'entrer l'adresse e-mail que vous avez préalablement indiqué lors de votre inscription, remplissez ce champ puis Cliquez sur “Continue »”.
  3. Un code vous à de nouveau été envoyé par e-mail, copiez-collez le dans le champ proposé, cliquez ensuite sur “Continue »”
  4. Un message vous confirmera que l'opération s'est déroulée avec succès, votre adresse e-mail devrait alors apparaitre dans la cinquième case déroulante “Email Validations”.

Validation de son nom de domaine

> Validations Wizard > Domain Name Validation
  1. Cliquez sur le troisième onglet “Validation Wizard” en haut à gauche du panneau de configuration, une liste déroulante s'affiche, choisissez “Domain Name Validation”, puis Cliquez sur “Continue »”.
  2. On vous demande alors d'entrer le nom de domaine que vous souhaitez protéger, remplissez ce champ puis Cliquez sur “Continue »”.
  3. On vous propose alors de choisir une adresse e-mail mais cette fois expéditrice. Elle servira au personnel du site à être sûr que vous êtes bien le propriétaire du domaine. Consultez cette boite mail que vous aurez choisi dans cette liste déroulante puis copiez-collez une fois de plus ce nouveau code, cliquez sur “Continue »”.
  4. Un message vous confirmera que l'opération s'est déroulée avec succès, votre nom de domaine devrait alors apparaitre dans la case déroulante “Domain Name Validations”.

Demande du certificat SSL

> Certificates Wizard > Web Server SSL/TLS Certificate
  1. Cliquez sur l'onglet en haut à gauche “Certificates Wizard”
  2. La page affichera alors un choix entre plusieurs types de certificat, dans notre cas seul un nous intéresse, vous devez choisir “Web Server SSL/TLS Certificate”.
  3. On vous demande de choisir un mot de passe de 8 caractères minimum, gardez-le en mémoire car il vous resservira pour l'étape du décryptage.
  4. (en cours de vérification) Le Certificat est alors affiché dans une zone de texte, c'est alors à vous de le copier-coller dans un éditeur de textes (bloc-notes de Windows fait très bien l'affaire) et enregistrez-le au nom que l'on vous indique.

Déchiffrement de la CSR en clef privée

> Tool box > Decrypt Private Key
  1. Cliquez sur le premier onglet en haut à gauche “Tool Box”
  2. Cliquez sur “Decrypt Private Key” dans la liste proposée à gauche.
  3. Copiez-collez le CSR puis entrez le mot de passe choisi précédemment.
  4. La clef privée est désormais affichée à l'écran, sauvegardez-là de la même manière que les autres fichiers (avec un éditeur de texte).

Téléchargement des certificats SSL

Pour cette étape, il s'agit simplement de télécharger les deux derniers fichiers, nous mettons à votre disposition les liens. Vous devez pour cela cliquer-droit sur chaque lien, puis sélectionner “enregistrer la cible du lien sous”.

Liste des 4 fichiers certificats SSL à télécharger :

1) Certificat : > Tool box > Retrieve Certificate

2) Clef Certificat : > Tool box > Decrypt Private Key

3) CA Intermédiaires (selon l'offre souscrite) :

Gratuit StartSSL™ Free Classe 1 https://www.startssl.com/certs/sub.class1.server.ca.pem
Payants StartSSL™ Identity Verified Classe 2/3 https://www.startssl.com/certs/sub.class2.server.ca.pem
StartSSL™ Organization Verified Classe 2/3 https://www.startssl.com/certs/sub.class3.server.ca.pem
StartSSL™ Extended Validation Classe 4 https://www.startssl.com/certs/sub.class4.server.ca.pem

4) CA Root : https://www.startssl.com/certs/ca.pem

Installer son certificat SSL chez FranceServ Hébergement

FranceServ Hébergement vous propose de saisir votre certificat avec sa clef privée dans votre gestionnaire de nom de domaine pour que votre site soit accessible via le protocole sécurisé https://

Pour cette étape, vous devez avoir disponibles vos fichiers préalablement obtenus (voir récapitulatif ci-dessus) et être connecté à votre interface de gestion FSH.

  1. Depuis l'interface de gestion FSH, dans la section “Mes domaines hébergés - DNS”, cliquez sur le domaine que vous avez choisi pour le certificat en cliquant dessus.
  2. Dans la section “Configuration du certificat SSL / HTTPS”, copiez-collez le contenu du certificat (Certificat File) dans la zone de texte proposée.
  3. Copiez-collez ensuite en procédant de la même manière pour la clé privée (Certificate Key File).
  4. Entrez ensuite votre mot de passe, que vous avez choisi.
  5. Copiez-collez le contenu de l'intermédiaire, c'est le fichier “Certificat Chain File”.
  6. Copiez-collez le contenu du Root, c'est le fichier “CA Certificate File”
  7. Cliquez, en bas de page, sur “Valider les modifications”.
  8. Un message apparaitra et vous confirmera que les modifications ont bien été enregistrées.

Capture écran des 4 zones de textes du certificat SSL et de la passphrase éventuelle :

 
certificat-ssl.txt · Dernière modification: 2015/02/10 15:29 par elodie
 
Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki