Tuto et conseil pour passer son site en https (SSL) : Achat du certificat

Tuto et conseil pour passer son site en https (SSL) : Achat du certificat

Dernière mise à jour:

Voici la première partie de mon tuto pour vous aider et pour vous conseiller pour passer votre site en https via un certificat SSL. Tout d’abord, oubliez ce que vous avez pu lire autre part … C’est très difficile  pour passer un site en mode sécurisé si celui ci existe déjà et qu’il a du contenu. Par contre si vous n’avez pas de contenu, c’est plus facile 🙂

Pourquoi sécuriser un site en SSL ?

Pour le commerçant c’est pour la sécurité du transfert de données.

Pour un site normal, il y a peut d’intérêt à part sécuriser la partie admin. Mais Google a décidé de mettre plus en avant dans son moteur de recherche les sites sécurisés …

 

Choix du certificat SSL :

Maintenant il faut trouver chez qui vous voulez acheter votre certificat …

Si vous êtes comme moi et que vous ne faites pas de E-commerce, vous allez prendre un certificat pas trop onéreux …

Par contre j’ai 3 sites à sécurisés (paradoxetemporel.fr, cinealliance.fr et musiquealliance.fr) donc cela multiplie les frais :(.

 

Dans mes choix, j’avais sélectionné :

– www.certificat.fr pour le certificat GeoTrust domain SSL à 9 euros/an et par site

– www.startssl.com pour son certificat gratuit

– www.gandi.net pour son certificat Standard Multi-domaines à 40 euros pour 3 domaines

Les autres sites proposent des certificats beaucoup trop cher pour mon utilisation. J’avoue que j’ai passé beaucoup de temps à faire des recherches avant de me décider sur ces 3 sites …

Mon choix c’est porté sur Gandi car c’est un site français et chez lequel j’ai certains de mes noms de domaine depuis plusieurs années (mais pas ceux pour lesquels j’ai besoin d’un certificat ).

gandissl

 

Comment générer son certificat

Tout d’abord, avant de commencer l’achat du certificat, vous devez vous connecter sur votre serveur web via la console. Donc vous commencez par faire un ssh.

Ensuite une fois sur votre machine, il faudra générer votre clé via la commande suivante :

openssl req -nodes -newkey rsa:2048 -keyout paradoxetemporel.key -out paradoxetemporel.csr

Cela lance la génération de la clé et il faudra répondre à quelques questions

generationcertificatssl

Voici quelques explications pour remplir les champs

Country Name (2 letter code) [AU]:  Vous inscrivez votre pays (FR pour France, BE pour Belgique, …)
State or Province Name (full name) [Some-State]: Vous inscrivez votre département ou région
Locality Name (eg, city) []: Vous inscrivez votre ville
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Vous inscrivez votre compagnie
Organizational Unit Name (eg, section) []: Vous inscrivez votre type de société
Common Name (e.g. server FQDN or YOUR name) []: Vous inscrivez votre nom de domaine
Email Address []: Vous inscrivez votre email

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: Vous inscrivez une phrase
An optional company name []: J’ai passé cette étape 😉

Vos certificats sont faits :). Vous avez eu un fichier .key (votre clé privé) et un fichier CSR (la demande de certificat)

Lorsque vous allez faire votre demande chez Gandi, il vous demandera votre clé CSR.

Il faudra taper  more paradoxetemporel.csr et vous allez récupérer ces données pour les coller sur gandi pendant le processus d’achat (c’est la même chose si vous passez via un autre site pour faire une demande de SSL)

Vous verrez apparaitre un texte de ce style (entre le begin et le end c’est un texte crypté qui apparait)

—–BEGIN CERTIFICATE REQUEST—–

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk

ddrsgdsgdkfkdfdfkdfkkdfkdfdfkdfkkdfkdfkdfkdfk
—–END CERTIFICATE REQUEST—–

Il faudra ensuite choisir un moyen de validation chez gandi :

Validation par Record DNS
Validation par email (simple)
Validation par fichier (simple)

Voilà c’est fait vous pouvez récupérer chez gandi les certificats pem et key

Pour les installer, il faut les copier dans :

Celui que vous aviez généré

/etc/ssl/private/paradoxetemporel.key

Les deux qui sont fournis par Gandi

/etc/ssl/certs/paradoxetemporel.crt
/etc/ssl/certs/GandiXXXSSLCA.pem

Et pour finir il faut faire un c_rehash /etc/ssl/certs

Maintenant la partie que je considère facile est fini.

En effet comme vous le verrez dans une seconde partie, il ne suffit pas d’ajouter 6 lignes dans votre fichier de configuration apache et 4 lignes dans htaccess pour que cela fonctionne .. Il faudra en effet régler les problèmes des anciennes url, de l’existant (photos par exemple), … afin de rendre le site propre par rapport aux normes HTTPS/SSL …

Je vous mets déjà quelques captures d’écran pour comprendre pourquoi la prochaine partie est beaucoup plus compliquée :

Les messages de warning pour vos visiteurs (cela n’est pas rassurant)

bug-ssl1

bug-ssl2

bug-ssl3

Un exemple d’article … Plus de photos 🙁

bug-ssl4

bug-ssl5

Et sur Cinealliance.fr, c’est même la layout qui a complétement planté

bug-ssl6

Donc la prochaine partie, sera dédiée aux modifications à effectuer…

Plateforme de Gestion des Consentements par Real Cookie Banner