StartSSL est un fournisseur de certificats qui semble intéressant. Contrairement aux poids lourds du marché qui sont tous hors de prix pour des budgets limités, StartSSL fournit des certificats pour un unique sous-domaine gratuit et une offre relativement bon marché pour des certificats plus évolués.
Son avantage par rapport à CACert est qu’il est valide au niveau des navigateurs Web du marché (Firefox / Google Chrome / Safari) et qu’il évite donc à l’utilisateur de devoir ajouter une exception pour les sites l’utilisant.
Créer un compte sur le site
La création de compte se passe ici, vous devrez mettre vos informations réelles. Ces informations doivent être liées à un individu et non à une organisation.
Il est ensuite nécessaire d’attendre une validation de votre compte de la part de l’équipe de StartCom.
Vous recevrez ensuite un email vous donnant un accès valable une journée pour créer votre certificat client qui sera installé automatiquement sur votre machine afin de vous identifier sur le site startssl.com.
En cliquant sur le lien du mail vous allez tout d’abord créer la clé (choisissez haut-grade dans le formulaire), puis en continuant, le site installera le certificat sur votre navigateur.
Il est important de faire une sauvegarde de ce certificat (sur une autre machine, un disque dur externe ou tout autre média) car en cas de perte, il ne vous sera plus possible d’avoir accès à votre compte. Afin de sauvegarder ce certificat, il suffit de suivre cette aide.
La création du certificat pour un domaine
Pour créer votre certificat, il faut ensuite aller dans votre panneau de controle. Votre navigateur disposant du certificat client, l’authentification sur le site est rapide, il suffit de cliquer sur le bouton de connexion.
Un formulaire vous demande le nom du domaine concerné [1], puis l’adresse email qui recevra le code de validation.
Un code de validation est envoyé via email afin de valider la création du domaine chez StartSSL. Cette validation est valable 30 jours pour réaliser les opérations suivantes.
Ensuite nous allons créer un CSR (Certificate signing request) sur le serveur conformément à cet autre article.
Retour sur le site StratSSL, comme vous venez de créer votre CSR sur votre serveur, vous pouvez passer l’étape de génération de clé sur le site. Il est ensuite nécessaire de copier le contenu du fichier CSR dans le formulaire du site.
Il est ensuite demandé par le formulaire d’ajouter un sous-domaine pour le certificat (un seul sera possible pour la version gratuite).
L’étape suivante affiche le certificat encodé PEM à copier coller dans un fichier sur le serveur (/etc/ssl/domain.com.crt
si l’on suit la même nomenclature que dans l’article de génération du CSR).
Il faut également récupérer deux autres certificats sur le site de StartSSL, l’intermediate
et le root CA nécessaires sur le serveur :
cd /etc/ssl wget https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem wget https://www.startssl.com/certs/ca.pem
Modification de la configuration d’apache
Pour utiliser le nouveau certificat pour un serveur web il est tout d’abord nécessaire de concaténer le certificat et la clé privée. Pour ce faire il suffit de lancer ces trois commandes :
cd /etc/ssl cat domain.com.key > domain.com.pem cat domain.com.crt >> domain.com.pem
Cela créera un fichier contenant à la fois le certificat et la clé.
Il est ensuite nécessaire de modifier le virtualhost ssl comme ceci (dans le cas du virtualhost par défaut d’apache) :
nano /etc/apache2/sites-available/default-ssl
Et on y ajoute/modifie les lignes suivantes :
SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM SSLCertificateFile /etc/ssl/domain.com.pem SSLCertificateChainFile /etc/ssl/sub.class1.server.sha2.ca.pem SSLCACertificateFile /etc/ssl/ca.pem
Il suffit ensuite de redémarrer le serveur apache :
/etc/init.d/apache2 restart
Et de se rendre à l’adresse : https://domain.com
pour se rendre compte que notre certificat est actif et qu’il est valide car le navigateur ne devrait pas demander l’habituelle exception pour un certificat auto signé.
Liens utiles et complémentaires
- SSL Checker : un outil simple et efficace de vérification SSL d’un serveur ;
- SSL labs testeur : outil complet de vérification SSL d’un serveur ;
- StartSSL
# Le 22 février 2012 à 17:28, par Phil En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
super ! merci.
je cherchais justement un retour d’expérience de startssl.
Est ce que vous avez une idée comment allez plus loin et l’utiliser pour plusieurs domaine ?
Apache le permet apparemment :
http://www.techrepublic.com/blog/opensource/configure-apache-to-support-multiple-ssl-sites-on-a-single-ip-address/987
Répondre à ce message
# Le 8 août 2014 à 19:01, par Garik DIAL En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Bonjour !
Merci pour ce merveilleux tuto ! J’ai pu le faire comme expliqué. Mais je n’arrive pas à installer un certificat dans un virtual host. Ya t’il un moyen quelque peu différent pour ça ?
Répondre à ce message
# Le 24 mars 2015 à 15:30, par Simon PERTUS En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Bonjour,
J’ai suivi cette procédure mais mon site garde l’auto signé par défaut comment le retirer ? (j’avais monté l’autosigné auparavant)
Cordialement,
Simon PERTUS
Répondre à ce message
# Le 25 mars 2015 à 00:02, par Quentin Drouet En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Votre certificat doit être configuré quelque part très certainement, peut être dans le virtualhost Apache default-ssl par exemple.
Non ?
Répondre à ce message
# Le 2 juillet 2015 à 17:22, par thomas En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Petite coquille au niveaux de l’appel des vhost :
"SSLCertificateChainFile /etc/ssl/sub.class1.server.sha2.ca.pem"
;) sinon merci tuto très utile !!
Répondre à ce message
# Le 23 juillet 2015 à 11:11, par Quentin Drouet En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Merci, c’est corrigé
Répondre à ce message
# Le 4 décembre 2016 à 23:40, par David Dissenbach En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Bonjour,
Merci beaucoup pour votre tutoriel. Tout s’est bien passé jusqu’à faire la commande :
cat domain.com.key > domain.com.pem
Réponse : -bash : icos.ch.pem : Permission denied
J’ai essayé avec sudo?, mais rien n’y fait. Du coup, impossible de créer le fichier pem ayant la clé et le certificat.
Avez-vous une idée ?
Merci d’avance et bonne journée.
David Dissenbach
Répondre à ce message
# Le 4 janvier 2017 à 07:51, par Chris En réponse à : StartSSL : Utiliser un certificat valide et gratuit pour son domaine
Bonjour,
Pour informations, StartSSL n’est désormais plus reconnu par Google Chrome ainsi que part Firefox.
Il faut désormais s’orienter vers Let’s Encrypt (gratuit) ou vers un revendeur (https://www.wistee.fr/certificat-ssl.php ou https://www.tbs-certificats.com par exemple) pour le payer moins cher.
Bonne journée.
Répondre à ce message