Actualités | Audio/Vidéo | Evènements | DIY | Domotique | Informatique | Maison | Mobile | Sécurité

#TUTO: Générer et installer un certificat SSL valide

Envoyer Imprimer PDF
Note des utilisateurs: / 19
MauvaisTrès bien 

Dans le cadre d’une connexion sécurisée HTTPS (HyperText Transfer Protocol Secure) par exemple, le serveur présente un certificat SSL (Secure Sockets Layer) qui permet de confirmer son identité. Au niveau des certificats, il y a 2 possibilités :

- Le certificat auto-signé (approuvé par vous-même)
- Le certificat « valide » délivré par une autorité de certification (AC)

Un certificat auto-signé permet de mettre en place une connexion sécurisée et chiffrée si le serveur et le client en sont capables. Seul bémol, le client reçoit forcément un avertissement que le certificat est non valide car non approuvé par une autorité de certification reconnu. C’est un problème quand vos utilisateurs ne sont pas trop au fait de tout ceci et se demandent si l’avertissement est légitime. Oui il est légitime de se poser la question et j’espère qu’ils se la poseront encore afin de ne pas tomber dans le piège d’un site frauduleux.

Passons maintenant au sujet qui nous intéresse, la génération d’un certificat valide, avec en prime le plaisir qu’il soit gratuit, alors ne nous privons pas.

C’est StartSSL qui propose ce service dans une certaine limite mais suffisante, à savoir la validité pour un domaine et un sous-domaine. Par exemple mondomaine.com et webmail.mondomaine.com

Direction le site de StartSSL : https://www.startssl.com puis

 

Ensuite le formulaire permet de savoir à qui le certificat sera délivré, une personne physique.

 

Un code de confirmation est envoyé sur votre adresse email spécifiée à l’enregistrement. L'adresse vous est demandée pour continuer.

 

Après confirmation, le site génère un premier certificat qui s’installera dans votre navigateur. Ce certificat servira à vous authentifier sur le site, car ici, pas de mot de passe pour accéder à son espace perso.

 

A ce niveau là, le certificat doit être installé dans votre navigateur et il s’est certainement téléchargé. Comme préconisé par le site, il faut absolument le sauvegarder en lieu sûre afin de pouvoir retourner s’identifier plus tard sur le site.

 

Après avoir cliqué sur le bouton « Continue », direction l’onglet « Validations Wizard » pour commencer à nous occuper de notre domaine. Choisir le type de validation.

 

On renseigne le nom du domaine.

 

 

Il faut choisir une adresse qui permettra de vérifier que vous êtes vraiment propriétaire du domaine. Les 3 premières propositions sont les grands classiques sur un domaine, à vous de choisir ce qui conviendra.

 

Entrez le code de vérification reçu sur l’adresse email sélectionnée à l’étape précédente.

 

La validation est confirmée.

 

Les étapes de validation de notre identité puis du domaine sont terminées, maintenant il faut générer le certificat. Onglet « Certificates Wizard » puis choisissez « Web server SSL/TLS Certificate ».

 

Cette étape n’est pas obligatoire si vous avez généré un fichier CSR (Certificate Request). Si vous ne l’avez pas fait ou ne savez pas, on continue en choisissant une clé solide car c’est elle qui assure la sécurité de votre futur certificat. J’ai opté une « Keysize » de 4096 bits et une clé de longueur supérieur à 20 caractères avec majuscules, minuscules, nombres…

 

Le site nous indique la clé privée qui vient d’être générée, il faut la copier dans un fichier texte sous le nom de « ssl.key » par exemple. Ce fichier est très important et sensible sur les serveurs. Le bloc de texte commence par « -----BEGIN RSA PRIVATE KEY----- ».

 

On choisit le domaine.

 

Affichage de ce qui va être généré.

 

Maintenant il faut patienter, et attendre un mail (sur l’adresse de confirmation du domaine) qui nous avertira quand le certificat est prêt.

 

Récupération du certificat fraichement disponible via l’onglet « Tool Box » puis « Retrieve Certificate ».

 

Notre certificat s’affiche, ce n’est que du texte que l’on copie dans un fichier « ssl.crt » par exemple.

 

Le reste peut se gérer depuis le serveur. Ici il s’agit d’un serveur NginX. Pour les autres serveurs le site StartSSL propose de l’aide (en anglais) : https://www.startssl.com/?app=20

 

Déchiffrage de la clé privée à l’aide du mot de passe utilisé tout à l’heure :

sudo openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.key

 

On protège la clé que l’on vient de déchiffrer pour que seul le super utilisateur puisse la lire :

sudo chmod 600 /etc/nginx/conf/ssl.key

 

Il faut récupérer les certificats de notre autorité de certification :

wget http://www.startssl.com/certs/ca.pem

wget http://www.startssl.com/certs/sub.class1.server.ca.pem

 

Création du certificat qui sera présenté aux clients :

su -

cat ssl.crt sub.class1.server.ca.pem ca.pem > /etc/nginx/conf/ssl-unified.crt

 

Il faut maintenant aller faire un petit tour dans le fichier de configuration de NginX pour spécifier l’utilisation de notre clé privée et du certificat :

sudo vi /etc/nginx/sites-enabled/default

 

Modifier les attributs :

ssl on;

ssl_certificate /etc/nginx/conf/ssl-unified.crt;

ssl_certificate_key /etc/nginx/conf/ssl.key;

 

Dernière étape, redémarrer le serveur web :

sudo service nginx restart

 

Et voilà, vous êtes arrivés au bout et normalement votre serveur présente un certificat qui est valide selon l’autorité de certification StartSSL.

Vidéo tutorial de création sur StartSSL (qui n'est pas de moi) : https://www.youtube.com/watch?v=jiDGlC6kGwo

Vous n'avez pas compris un point ? Vous vous posez une question ? Vous pouvez nous contacter via le bouton Assistance sur votre gauche. N'hésitez pas à demander un rendez-vous téléphonique avec Domotics.

Vous avez aimé cet article ? Vous pouvez le partager sur vos réseaux sociaux pour soutenir son auteur et l'encourager à écrire de nouveaux articles ...

 

Cet article vous est proposé par 1110: Passionné d'informatique et de radio depuis plus de 20 ans. 1110 nous rejoint pour le plaisir de découvrir et de faire découvrir.

Mise à jour le Mardi, 22 Juillet 2014 22:36  

Ajouter un Commentaire


Code de sécurité
Rafraîchir

Recherche

Newsletter ?

Bon Plan

Instagram

Publicité



Connexion