Le certificat SSL (Contribution)

Cette page permet d'apporter l’expérience de chacun dans le domaine de la certification, les procédures à effectuer étant différentes soit en gratuit soit en normal, cela permettra de compléter la documentation officielle de FSH.

Introduction

Le certificat SSL permet d'accéder à un site Internet par l'intermédiaire du protocole https:// en plus du protocole http:// habituel.

Le protocole https:// sécurise la communication entre le navigateur de l'internaute et le site visité. Lorsque l'internaute saisie des informations sur le site sécurisé, ce transfert d'information par Internet se fait en mode chiffré de manière que si un autre internaute “écoute/espionne” ce transfert d'information, il ne pourra pas en comprendre son contenu.

Il est alors inutile de sécuriser un site Internet qui ne dispose pas d'un formulaire d'authentification ou s'il ne contient pas des données sensibles à voler.

Sachez qu'un site Internet accessible en https:// n'est pas forcement un site de confiance. Il faut vérifier à qui a été délivré le certificat SSL et comparer cette identité avec l'adresse du site.

Le protocole https:// nécessite l’acquisition d'un certificat d'authenticité pour certifier que le site visité n'a pas été détourné. Ce certificat d'authenticité à une durée de vie ainsi qu'une configuration.

Source : FSH

L’enregistrement chez StartSSL

StartSSL est un site internet proposant des certificats gratuits, et d'autres payants, sans rentrer dans les détails il faut savoir qu'un certificat est normalement payant, ce site est donc (l'un ?) des premiers à le faire. L'inscription est une étape essentielle pour utiliser les services, et il est important d'indiquer les informations demandées de manière précise. Sans enregistrement correct vous ne pourrez pas créer votre propre certificat.

⇒ Pour vous enregistrer, vous devez vous rendre sur la page “Sign Up” disponible à cette adresse : https://www.startssl.com/?app=11&action=regform

Etape 1 : L'envoi des informations (inscription)

  1. Complétez les champs proposés, choisissez votre région de résidence, si elle n'y figure pas, vous devez contacter StartSSL via le lien “Send” en bas de page.
  2. Si vos informations sont complètes et exactes, cliquez sur “continuer”.
  3. Un avertissement apparait, il vous demande de confirmer que vous avez bien rentré VOS informations et qu'elles sont correctes, si tel est le cas, cliquez sur “OK”.
  4. Un code de confirmation vous est envoyé par e-mail, ne fermez pas la fenêtre de votre navigateur, vous devrez copier-coller le code que vous aurez reçu dans le champ proposé sur la page de StartSSL.
  5. Cliquez ensuite sur “continue” une fois le code copié-collé.
  6. Un fichier vous sera proposé au téléchargement, je vous conseille de le sauvegarder, il constitue votre clé pour vous connecter sur le site. Si vous changer d'ordinateur par exemple, vous devrez l'importer dans votre navigateur afin de pouvoir accéder de nouveau à votre compte. La clé USB constitue un bon élément de sauvegarde ;-)

Etape 2 : La validation de l'adresse e-mail

Il est possible que cette étape soit déjà faite lors de votre inscription, pour cela, vérifiez à droite en cliquant sur “Email Validations” si votre adresse e-mail apparait à coté d'une encoche verte, si tel est le cas, passez directement à l'étape suivante.

Pour effectuer cette étape, vous devez être connecté préalablement grâce à la méthode décrite ci-dessus, y compris pour les étapes qui suivront. Les actions suivantes sont à effectuer depuis votre panneau de configuration de StartSSL.

  1. Cliquez sur le troisième onglet “Validation Wizard” en haut à gauche du panneau de configuration, une liste déroulante s'affiche, choisissez “Email Adress Validation”, puis Cliquez sur “Continue »”.
  2. On vous demande alors d'entrer l'adresse e-mail que vous avez préalablement indiqué lors de votre inscription, remplissez ce champ puis Cliquez sur “Continue »”.
  3. Un code vous à de nouveau été envoyé par e-mail, copiez-collez le dans le champ proposé, cliquez ensuite sur “Continue »”
  4. Un message vous confirmera que l'opération s'est déroulée avec succès, votre adresse e-mail devrait alors apparaitre dans la cinquième case déroulante “Email Validations”.

Etape 3 : La validation du nom de domaine

  1. Cliquez sur le troisième onglet “Validation Wizard” en haut à gauche du panneau de configuration, une liste déroulante s'affiche, choisissez “Domain Name Validation”, puis Cliquez sur “Continue »”.
  2. On vous demande alors d'entrer le nom de domaine que vous souhaitez protéger, remplissez ce champ puis Cliquez sur “Continue »”.
  3. On vous propose alors de choisir une adresse e-mail (et oui, une de plus ;)) mais cette fois expéditrice. Elle servira au personnel du site à être sûr que vous êtes bien le propriétaire du domaine. Consultez cette boite mail que vous aurez choisi dans cette liste déroulante puis copiez-collez une fois de plus ce nouveau code, cliquez sur “Continue »”.
  4. Un message vous confirmera que l'opération s'est déroulée avec succès, votre nom de domaine devrait alors apparaitre dans la case déroulante “Domain Name Validations”.

Etape 4 : La demande de certificat

  1. Cliquez sur l'onglet en haut à gauche “Certificates Wizard”
  2. La page affichera alors un choix entre plusieurs types de certificat, dans notre cas seul un nous intéresse, vous devez choisir “Web Server SSL/TLS Certificate”.
  3. On vous demande de choisir un mot de passe de (8 ?) caractères minimum, gardez-le en mémoire car il vous resservira pour l'étape du décryptage.
  4. (en cours de vérification) Le Certificat est alors affiché dans une zone de texte, c'est alors à vous de le copier-coller dans un éditeur de textes (bloc-notes de Windows fait très bien l'affaire ;)) et enregistrez-le au nom que l'on vous indique.

Etape 5 : Décryptage de la clef privée

  1. Cliquez sur le premier onglet en haut à gauche “Tool Box”
  2. Cliquez sur “Decrypt Private Key” dans la liste proposée à gauche.
  3. Copiez-collez le CSR (voir étape 4) puis entrez le mot de passe choisi précédemment.
  4. La clef privée est désormais affichée à l'écran, sauvegardez-là de la même manière que les autres fichiers (avec un éditeur de texte).

Etape 6 : Le téléchargement des fichiers "CA ROOT" et "Certificate Chain File"

Aucune manipulation particulière pour cette étape puisqu'il s'agit simplement de télécharger les deux derniers fichiers, nous mettons à votre disposition les liens. Vous devez pour cela cliquer-droit sur chaque lien, puis sélectionner “enregistrer la cible du lien sous”.

  1. CA Certificate File =⇒ https://www.startssl.com/certs/ca.pem

Liste des fichiers obtenus

Vous devez normalement avoir les fichiers suivants :

  • Le certificat (Obtenu à l'étape 4)
  • La clé privé (Obtenue à l'étape 5)
  • Le mot de passe (Entré à l'étape 4-3)
  • Le fichier “CA Certificate File” (Obtenu à l'étape 6-1)
  • Le fichier “Certificate Chain File” (Obtenu à l'étape 6-2)

L’intégration des fichiers obtenus chez FSH

Pour cette étape, vous devez avoir disponibles vos fichiers préalablement obtenus (voir récapitulatif ci-dessus) et être connecté à votre interface de gestion.

  1. Depuis l'interface de gestion FSH, dans la section “Mes domaines hébergés - DNS”, cliquez sur le domaine que vous avez choisi pour le certificat en cliquant dessus.
  2. Dans la section “Configuration du certificat SSL / HTTPS”, copiez-collez le contenu du certificat (Certificat File) dans la zone de texte proposée.
  3. Copiez-collez ensuite en procédant de la même manière pour la clé privée (Certificate Key File).
  4. Entrez ensuite votre mot de passe, que vous avez choisi à l'étape 4-3
  5. Copiez-collez le contenu de l'intermédiaire, c'est le fichier “Certificat Chain File” (obtenu à l'étape 6-2)
  6. Copiez-collez le contenu du Root, c'est le fichier “CA Certificate File” (obtenu à l'étape 6-1)
  7. Cliquez, en bas de page, sur “Valider les modifications”
  8. Un message apparaitra et vous confirmera que les modifications ont bien été enregistrées

La confirmation d'intégration du certificat

Vous recevrez sous un certain délai, une confirmation par e-mail


En cours d'écriture