Introduction
Le certificat SSL (Secure Sockets Layer), et le TLS (Transport Layer Security) dont il est le successeur, sont l’un des éléments de sécurité les plus importants pour quiconque possède un site web ou un blogue.
Ce protocole, que l’on appellera SSL/TLS pour simplifier, permet de sécuriser les échanges entre votre site web et les internautes au moyen d’une clé cryptographique, ce qui garantit la confidentialité des données personnelles et professionnelles au moment où elles sont échangées. Cela active le protocole HTTPS et fait apparaître le cadenas de sécurité dans la barre d’adresse du navigateur.
Certains usagers désirent gérer et installer des certificats SSL personnalisés avec d’autres fournisseurs; c’est le cas, par exemple, lorsqu’ils achètent leurs certificats SSL auprès d’une organisation comme Comodo, par exemple.
Dans cet article, nous expliquerons comment le panneau de contrôle de N0C vous permet de renouveler manuellement un certificat et d’installer un certificat SSL personnalisé.
Par convention, nous considérerons que Let’s Encrypt est le « fournisseur interne » et toutes les autres organisations seront qualifiées de « fournisseurs externes ».
Note : Le glossaire contient des explications sur de multiples sujets et peut être consulté pour clarifier certains termes.
Prérequis
Saisissez dans votre navigateur web l’adresse suivante : https://mg.n0c.com/fr/.
Description de l’interface SSL/TLS
- Dans le menu contextuel, choisissez Domaines -> Gestion des domaines.
- Cliquez sur le bouton SSL/TLS vis-à-vis du domaine désiré (assurez-vous que le SSL est actif, le crochet en faisant foi) :
- L’interface est alors affichée avec, en particulier, l’État du certificat SSL, le nom du Fournisseur et la date d’Expiration :
Renouvellement manuel d’un certificat SSL
Rappel
Encore une fois, si le fournisseur est Let’s Encrypt, il n’est pas nécessaire de renouveler manuellement le certificat SSL d’un domaine de votre hébergement, puisque c’est géré automatiquement.
Voici la marche à suivre :
- Cliquez sur le bouton SSL/TLS vis-à-vis du domaine désiré :
- Cliquez sur le bouton Renouveler :
- Un message « Certificat renouvelé avec succès » est alors affiché et un crochet apparaît à côté de l’État de même que dans la liste sous Gestion des domaines :
Mise en place d’un certificat SSL personnalisé
Grosso modo, la mise en place d’un certificat SSL personnalisé se fait en 5 étapes :
- Étape 1 : fournissez les informations pour la génération du CSR.
- Étape 2 : récupérez votre CSR.
- Étape 3 : créez la demande de certificat auprès de votre fournisseur.
- Étape 4 : installez le certificat SSL.
- Étape 5 : testez votre certificat SSL.
Avant de poursuivre plus avant, il importe de comprendre qu’une signature de certificat (en anglais, CSR ou Certificate Signing Request) est un bloc de texte codé (généralement en ASN.1 conformément à la spécification PKCS #10).
Faire une demande de signature de certificat revient à générer un CSR sur le serveur où le certificat SSL sera installé. Le CSR contient des informations qui seront incluses dans le certificat SSL, telles que le nom de l’organisation et le pays. Il contient également une clé publique — la clé CSR — qui y sera aussi incluse.
Si votre fournisseur est Let’s Encrypt, vous n’aurez pas à générer de CSR ni de certificat SSL personnalisé.
La fenêtre SSL/TLS de N0C est conçue pour vous aider à installer des certificats SSL personnalisés, étape par étape. Avant de détailler cela, nous allons illustrer le procédé dans un diagramme de flux, car la marche à suivre est relativement compliquée.
Diagramme de flux du procédé de SSL/TLS
Étape 1 — Fournissez les informations pour la génération du CSR
Si vous avez déjà un certificat et une clé privée, passez directement à l’étape 4B.
Autrement, si vous désirez installer un fournisseur de certificat SSL gratuit avec Let’s Encrypt ET que le certificat a bien été installé automatiquement, vous n’avez rien d’autre à faire. En revanche, si le certificat avecLet’s Encrypt n’a pas bien été installé automatiquement, passez à l’étape 4C.
Si vous avez un fournisseur externe ET que vous avez déjà fait une demande de signature de certificat auprès de celui-ci, passez à l’étape 3.
Marche à suivre pour la génération du CSR
Dans les étapes qui vont suivre, prenez soin de fournir des informations complètes et exactes qui permettront de délivrer un CSR en bonne et due forme. Toute erreur de saisie dans les champs du panneau de N0C risque d’entraîner du retard.
- Dans la fenêtre de Gestion des domaines, cliquez sur le bouton SSL/TLS vis-à-vis du domaine désiré (assurez-vous que le SSL est actif) :
- Cliquez sur le bouton Certificat personnalisé :
- Cliquez sur le bouton Générer CSR :
- Fournissez les informations demandées :
| Champ | Code | Instructions |
| NOM DE L’ORGANISATION | O | Company Name / Organisation : écrivez ici la raison sociale complète (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules. N’oubliez pas les suffixes (INC., CORP., etc.). |
| NOM DE VOTRE DÉPARTEMENT DANS L’ORGANISATION | OU | Organisational unit / Division / Branche : écrivez le nom de la division qui s’occupe du certificat dans votre société ou organisation. Nous recommandons de laisser ce champ vide ou, à défaut, indiquer un terme générique comme “Service Informatique”, sous la forme du numéro de SIREN précédé de « 0002 ». |
| PAYS | C | Country / Pays : en utilisant le code ISO à deux lettres, indiquez FR si votre société ou organisation est basée en France, CA pour le Canada, BE pour la Belgique, etc., de préférence en majuscules. |
| ÉTAT | ST | State / État / Département : en France, indiquez le nom du département dans lequel votre société ou organisation a son siège social (pas le numéro). |
| VILLE | L | City / Location / Ville : indiquez la ville où se trouve le siège social de votre société ou organisation. |
| ADRESSE DE COURRIEL | EMAIL : adresse de courriel de l’intermédiaire au sein de votre société ou organisation qui s’occupe du certificat SSL (le plus souvent, c’est la personne en charge de la gestion des certificats). |
- Cliquez sur le bouton CRÉER :
- Votre demande de signature de certificat apparaît alors dans la liste Informations CSR :
- L’icône Plus de détails permet d’afficher toutes les informations liées à votre demande :
Suppression d’une demande de signature de certificat
Si pour une raison ou une autre vous désirez supprimer la demande, il suffit de cliquer sur l’icône Supprimer :
Note : Il est inutile au préalable de choisir votre niveau de certification — SSL DV, SSL OV, SSL EV, SSL wildcard — et la période de validité désirée qui conviennent le mieux à vos besoins, cela étant défini par défaut.
Étape 2 — Récupérez votre CSR
Pour afficher la demande de signature de certificat qui sera transmise chez le fournisseur :
- Cliquez sur le bouton Afficher CSR :
- Dans la fenêtre CSR, cliquez sur le bouton Copier :
- Un message est affiché pour démontrer que la copie a été faite avec succès :
Étape 3 — Créez la demande de certificat auprès de votre fournisseur
Ici, vous devez transmettre le CSR copié dans l’étape précédente à votre fournisseur de certificats SSL.
Les fournisseurs les plus populaires sont IdenTrust, DigiCert Group, Sectigo et Global Sign. Certains clients font aussi affaire avec eNom et Comodo Group, entre autres.
Votre fournisseur vous demandera alors de payer les frais requis pour que le processus suive son cours.
Étape 4 — Installez le certificat SSL
Dans cette étape, il existe trois possibilités. Référez-vous au diagramme de flux pour savoir laquelle s’applique à vous.
Étape 4A — Le fournisseur vous envoie le certificat, la clé privée et le « ca bundle »
Après que la demande ait été validée, votre fournisseur vous transmettra, souvent par courriel, le certificat, la clé privée et le « ca bundle » :
Le fournisseur vous retournera aussi la clé CSR que vous lui avez originellement transmise. De fait, le certificat créé à l’aide d’une CSR particulière ne fonctionnera qu’avec la clé privée qui a été générée avec la CSR. Si vous perdez la clé privée, le certificat ne fonctionnera plus.
Étape 4B — Entrez manuellement le certificat ainsi que la clé privée
Si vous désirez installer sur les serveurs un certificat SSL d’un fournisseur externe, il vous faut entrer manuellement le CERTIFICAT et la CLÉ PRIVÉE qu’il vous a transmis :
- Cliquez sur le bouton Installer un certificat :
- Copiez le CERTIFICAT et la CLÉ PRIVÉE reçus du fournisseur dans les champs du même nom et, si requis, remplissez le champ ENSEMBLE D’AUTORITÉS DE CERTIFICATION (OPTIONNEL) :
- Cliquez sur le bouton CRÉER.
Étape 4C — Entrez le certificat manuellement et la clé privée automatiquement
Si le SSL provient de Let’s Encrypt ET qu’il n’a pas été installé automatiquement :
- Copiez le CERTIFICAT dans le champ du même nom :
- Cliquez sur le bouton Remplir automatiquement.
- Le champ CLÉ PRIVÉE sera rempli aussitôt si vous avez préalablement demandé le CSR avec l’interface de N0C (sinon, il faut aller récupérer le certificat et la clé privée et remplir les champs manuellement).
- Au besoin, remplissez le champ ENSEMBLE D’AUTORITÉS DE CERTIFICATION (OPTIONNEL).
- Cliquez sur le bouton CRÉER.
Note
Il est toujours possible de récupérer la clé privée manuellement si le CSR a été généré avec N0C :
- Cliquez sur le bouton Récupérer clé privée :
- Cela aura pour effet d’ouvrir une interface, d’où vous pourrez copier la clé privée :
Étape 5 — Testez votre certificat SSL
Si l’installation du certificat s’est faite correctement, vous verrez que l’information du certificat sera mise à jour et que le fournisseur choisi — Let’s Encrypt ou votre fournisseur externe — sera affiché :
Nous vous conseillons d’utiliser des navigateurs web différents pour vous assurer que le protocole HTTPS est bien activé et que l’icône du cadenas apparaît.