Processus de création d’un Certificat SSL

Vous trouverez sur cette page le processus détaillé, étape par étape, de création d’un certificat SSL pour les certificats non automatisés destinés à être téléchargés et installé sur un hébergement externe à Gandi. Pour les certificats destinés à être utilisés sur une instance Simple Hosting consultez cette page.

Chaque étape est détaillée selon le type de certificat (Standard, Pro ou Business) et leurs spécificités. Nous passerons sur le choix du type et la méthode de génération (voir) pour nous concentrer sur tous les types de certificat en génération « manuelle ».

Étape 1 : Génération de la CSR

https://docs.gandi.net/fr/ssl/operations_courantes/csr.html

Un certificat SSL est un fichier en deux parties qui va permettre le chiffrement des données entre votre site et le navigateur du client. La séparation en deux parties permet de garantir une plus grande sécurité, une de ces parties n’étant pas « disponible » via internet. Ces deux parties sont la clé publique (ou le certificat SSL lui même) et la clé privée (fichier du même nom).

La génération de la CSR créé aussi la clé privée qui est la part la plus importante car celle ci doit restée en votre seule et unique possession. C’est aussi la partie la plus compliquée car elle nécessite un accès à OpenSSL (ou équivalent) pour cette opération, hors ce « programme » ne possède pas d’interface graphique.

Préparation

Pour générer la CSR il vous faudra donc accéder à un terminal Unix / Linux sur une machine ayant OpenSSL ou équivalent installé.

Cela peut être :

  • votre ordinateur habituel si vous êtes sous Linux ou OSx.
  • un serveur Cloud Gandi
  • éventuellement une instance Simple Hosting (même si elle n’est pas destinée à recevoir le SSL)
  • un serveur de production accessible tournant sous une distribution Linux ou Unix
  • un ordinateur sous Windows avec OpenSSL pour Windows installé [1].

Générer la CSR

Quelque soit le support il est important de se rappeler que vous aurez 2 fichiers à récupérer. Un fichier « .crt » qui est le « bon de commande » et la clé privée. Regardez donc bien dans quel répertoire vous vous trouvez avant de lancer la commande.

Vous avez deux commandes disponibles selon que vous préfériez la version « interactive » (qui va vous demander des informations supplémentaires) ou la version directe.

Version interactive

Tapez (ou copiez / collez) la commande suivante :

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

ou myserver.key est le nom de fichier de votre clé privée et server.csr le nom de fichier du « bon de commande »

Le terminal va alors vous demandez certaines informations supplémentaires :

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]:Ile de France
Locality Name (eg, city) []: Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MaSociete SARL
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: sousdomaine.votredomaine.tld
Email Address []:moi@example.com
A challenge password []:
An optional company name []:

Vous voyez aussi des exemples de réponses pour les parties les plus importantes.

Note

Pour un certificat Standard seul le pays et la ville (Locality Name) sont indispensables. Pour les certificats Pro et Business l’organization name (nom de société) est obligatoire. L’adresse email n’est pas obligatoire mais conseillée.

Important

Le Common Name est l’adresse de votre site et l’adresse principale de qui sera protégée par le certificat. Pour un certificat multi-domaines ce sera aussi la seule adresse qui ne pourra jamais être modifiée. Pour un certificat Wildcard la partie « sous domaine » devra être remplacée par un caractère joker : *

Version directe

Il s’agit en fait de la même commande mais où les paramètres demandés dans la version interactive sont ajoutés à la création de la commande.

openssl req -new -newkey rsa:2048 -nodes -out example_com.csr -keyout example_com.key -subj "/C=FR/ST=/L=Paris/O=Gandi/CN=www.example.com"

Dans l’exemple ci dessus :

  • example_com.key est le nom du fichier de clé privée,
  • C=FR est le code pays (FR pour France),
  • ST= est l’état (laissé vide ici),
  • **L=**Paris, la localité,
  • **O=**Gandi, votre organisation (Raison Sociale)
  • **CN=**www.example.com est l’adresse principale de votre certificat.

Lancer la commande

Une fois en possession des deux fichiers (.csr et .key) sauvegardé précieusement le fichier .key et faites attention à ne pas le mélanger avec un autre. A CHAQUE CSR CORRESPOND UN FICHIER .KEY. Ils ne sont pas interchangeables, même si vous générer une nouvelle CSR avec exactement les mêmes informations. L’encodage change à chaque fois.

Ouvrez le fichier .csr avec un éditeur de texte simple (notepad, mousepad, etc..) et copiez / collez le contenu complet dans le champ correspondant sur l’interface Gandi.

Étape 2 : Documents

Important

Cette étape n’existe pas pour les certificats Standards vous pouvez passer à l’étape suivante directement.

Certificats Pro

Vous devrez envoyez les documents listés sur cette page à Gandi, qui les validera pour le compte de l’Autorité de Certification. Généralement la création du certificat envoie un email pour vous rappeler cette étape, il vous suffit de répondre à l’email en y joignant les documents scannés au format .pdf, .jpg ou .png.

Certificats Business

Pour des raisons de sécurité et de procédure, les documents listés sur cette page devront être envoyés directement à Sectigo, l’Autorité de Certification. N’envoyez pas les documents à Gandi, mais suivez bien les instructions données sur la page ci dessus.

Notez que la vérification des documents peut prendre plusieurs jours (dans un cas comme dans l’autre) cela implique qu’un certificat de ce genre ne peut pas être validé en quelques heures.

Étape 3 : Domain Control Validation

https://docs.gandi.net/fr/ssl/operations_courantes/dcv.html

Cette étape est importante, mais plus simple. Il s’agit de prouver à l’Autorité de Certification que vous avez bien le contrôle du domaine (et ainsi éviter que n’importe qui puisse générer un certificat SSL au nom d’une banque par exemple, puis de créer un faux site.)

Votre nom de domaine est chez Gandi

Si votre nom de domaine est chez Gandi, dans le même compte que celui utilisé pour créer le certificat et qu’il utilise les LiveDNS, vous n’aurez rien à faire. Le système ajoutera automatiquement l’enregistrement DNS nécessaire à la validation. (Vous pouvez néanmoins vérifiez dans « Enregistrements DNS »). Si l’une ou l’autre de ces conditions n’est pas remplie vous devrez passer par une validation « manuelle ».

Important

Si un certificat a déjà été créé pour la même adresse vous risquez de vous retrouvez avec deux enregistrements différents, ce qui empêchera la validation. Le mieux est donc de vérifier dans vos enregistrements DNS et d’effacer d’éventuels anciens enregistrements avant de lancer la commande.

Si ce n’est pas le cas vous avez 3 méthodes de DCV à votre disposition.

Validation DCV par Email

Pour ce choix vous devez créer, avant de lancer la commande, une adresse email sur le domaine Apex concerné (ie : example.com par exemple) au nom de « admin ».

admin@example.com

(*bien entendu remplacez le domaine « example.com » par le votre).

Lors de la phase de DCV un email de validation, contenant un lien URL, sera envoyé à cette adresse.

Si vous ne pouvez pas créer cette boite mail, choisissez une autre méthode de validation. Il n’est pas possible de changer cette adresse ou d’envoyer l’email à une autre adresse.

Note

Vous pouvez créer une redirection, mais souvenez vous que les emails redirigés sont plus propices à être considérés comme du spam. S’agissant de mail automatisés, le risque de ne pas le recevoir peut être important dans ce cas.

Cette méthode est la plus rapide.

Validation par DNS

Dans ce cas il faut ajouter un enregistrement DNS spécifique pour votre domaine. Cet enregistrement est disponible dans le détail de la création du SSL après validation de la commande. Rendez vous dans « CERTIFICATS SSL » dans le menu de gauche et cliquez sur le certificat que vous venez de lancer. Vous verrez les différentes étapes et l’enregistrement sera affiché (sinon cliquez sur l’icone crayon).

Note

Selon votre fournisseur de DNS la propagation peut prendre de quelques secondes à plusieurs heures. Nous vous recommandons donc d’attendre au moins 6 heures avant de contacter le support en cas de problème.

Validation par fichier

Cette méthode de validation nécessite que vous ayez accès au serveur web qui héberge le site sur lequel le domaine redirige. Il vous est demandé de copier un fichier texte (.txt) qui contient une clé de vérification, et de le placer dans un sous répertoire spécifique (.well-known/pki-validation/filename.txt) .

http://www.example.com/.well-known/pki-validation/filename.txt

Note

Nous vous conseillons de vérifier que le fichier est bien disponible en ligne, de préférence hors de votre réseau d’entreprise et uniquement en HTTP. Attention aux installations de CMS (comme Wordpress par exemple) qui peuvent bloquer l’accès à tout fichier « hors site ».

Étape 4 : Callback

Cette étape n’existe pas pour les certificats « Standards ». En fait pour ces certificats la procédure est terminée il vous suffit d’attendre la validation (qui peut prendre jusqu’à 24 heures pour un certificat Wildcard) et vous pourrez télécharger et installer votre certificat (https://docs.gandi.net/fr/ssl/operations_courantes/recuperer_certificat.html).

Pour les certificats Pros

Cette étape consiste en un email contenant un lien et un code. En cliquant sur le lien vous allez lancer un appel téléphonique automatique qui vous demandera d’entrer le code (numérique) au téléphone.

Le numéro de téléphone est récupéré par l’Autorité de Certification via un site web tiers, généralement celui de Dun & Bradstreet ou celui de la CCI. Il est donc important de vérifier que le numéro sur ses sites est à jour.

Note

L’appel est automatique, il n’est donc pas possible de passer par un standard. Utilisez un numéro de téléphone direct (à mettre à jour sur le / les sites ci dessus) au moins temporairement. Il peut être possible à titre exceptionnel de demander un appel manuel, mais cela ralentira d’autant la validation de votre certificat.

Pour les certificats Business

Sectigo effectuera un appel directement par téléphone afin d’effectuer les vérifications nécessaires.

Le numéro de téléphone est récupéré par l’Autorité de Certification via un site web tiers, généralement celui de Dun & Bradstreet ou celui de la CCI. Il est donc important de vérifier que le numéro sur ses sites est à jour.

Dans tous les cas lors d’une création de certificat SSL Business, l’AC vous contactera par téléphone.

Étape 5 : Vérifications

Cette étape est indépendante de vous ou de Gandi. L’Autorité de Certification va vérifier les informations requises (pour un certificat Business cette vérification est plus poussée que pour un certificat Pro). L’AC va entre autre, pour les certificats Wildcard particulièrement, vérifier que le certificat délivré ne peut pas être utilisé dans le cadre de phishing (faux site internet). Cette vérification peut prendre de quelques heures à plusieurs jours.

Par exemple peuvent être refusés : paiements.formationmicrosoft.com, *.osoft.com (qui permet de faire micr.osoft.com, etc…).

Étape 6 : Téléchargement certificat et certificat intermédiaire

Une fois le certificat délivré par l’Autorité de Certification (vous recevrez un email pour vous avertir, mais vous pouvez aussi suivre le déroulement dans votre compte Gandi).

Rendez vous sur la page du certificat (CERTIFICATS SSL -> cliquez sur votre certificat) et téléchargez le certificat (fichier .csr). Sur la même page vous pourrez aussi télécharger le Certificat Intermédiaire au format PEM. Pour l’installation vous aurez aussi besoin de la clé privée.

Selon le type de serveur l’installation différera complètement (même entre les distributions Linux) le mieux sera de contacter directement votre hébergeur pour lui demander la méthode à suivre pour l’installation du certificat et du certificat intermédiaire.

[1]Accéder au site officiel : http://www.openssl.org/

Puis télécharger le programme pour Windows : > related > Binaries : https://www.openssl.org/community/binaries.html