Update [16/08/2017] : les certificats SSL Gandi Standard 1 adresse sont gratuits pour Simple Hosting
Il est maintenant possible d’avoir des certificats SSL auto-installés chez Gandi pour toutes les tailles de serveur Simple Hosting, Il faut pour cela utiliser la nouvelle interface d’administration (appelée #gandiV5).
Il était grand temps pour Gandi car la concurrence n’a pas attendu, elle.
La procédure ci-dessous est valable à partir d’un compte utilisateur Gandi qui a les droits sur le domaine (propriétaire et/ou contact technique et/ou revendeur). Vous devrez utiliser la ligne de commande (console Linux ou bien Putty sous Windows).
Le premier certificat activé pour un domaine acheté chez Gandi est gratuit pour un an (1 par domaine)
La procédure ci-dessous est un pas-à-pas. Pour en savoir plus sur les certificats SSL et les variantes/possibilités non abordées ici voir les liens en bas de page.
Préliminaire a la commande
Connectez-vous à votre compte Gandi : https://gandi.net/login
Aller sur la page de votre instance simple hosting : https://admin.gandi.net/simplehosting/
Activer la console SSH pour cette instance :
Cliquer sur Activer > Console SSH Se connecter Activer
Attendre quelques secondes que l’activation soit effective (elle le restera 2 heures)
Commander le certificat
- Aller sur la page de gestion du domaine à sécuriser : https://gandi.net/admin/domaine/detail/
Cliquer sur Acheter (Certificat SSL : Inactif (Acheter)) - Remplissez le formulaire de demande : https://gandi.net/ssl/create/openssl
- Cliquer sur « générer »
- Copier le code qui s’affiche en bas.
Générer le certificat et la clé
Dans un terminal sur Linux (Putty si vous êtes sous Windows) connectez-vous à votre instance :
~$ ssh xxxxxx@console.dc2.gpaas.net
(xxxxx est le numéro d’instance simple hosting)
Réponse du serveur :
Press [Enter]
to start a shell
Indiquez dans quel répertoire la clé et le certificat seront envoyés :
hosting-user@nominstance:/srv/data$ cd /srv/data/tmp
Copier le code généré plus haut via la page https://gandi.net/ssl/create/openssl :
Exemple de code factice :
hosting-user@nominstance:/srv/data/tmp$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out site.org.csr -keyout site.org.key -subj '/C=FR/CN=site.org'
Réponse du serveur :
Récupérer le certificat et la clé
Allez (via ftp) récupérer votre certificat et la clé depuis le répertoire /tmp vers un lieu sûr (par exemple votre PC) :
Chemin d’accès aux fichiers créés :
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.csr
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.key
Une fois rapatriés vous pouvez supprimer ces fichiers du serveur.
Finaliser la commande
- Ouvrir le fichier .csr récupéré
- Copier tout son contenu
- Retourner sur la page https://gandi.net/ssl/create/csr
- Coller le contenu du fichier .csr dans le formulaire
- Vérifier que le domaine indiqué dans « Domaine (CN) principal » est correct.
- Valider puis confirmer la commande.
Vous recevez un email de Gandi confirmant la commande. Si votre domaine est hébergé chez Gandi et que vous en êtes propriétaire ou contact technique les étapes ultérieures de mises en place sont automatiques (y compris l’ajout d’un champ dans la zone DNS)
Sinon suivez les demandes de validation que vous envoie Gandi (l’email de contact doit être valide).
Le propriétaire du nom de domaine reçoit un email mentionnant qu’un certificat SSL a été acheté pour son domaine.
Activation
Vous allez recevoir un email de confirmation d’activation avec un lien pour récupérer votre clé et le certificat intermédiaire (à garder en lieu sûr).
Si votre domaine ne s’affiche pas en https ajouter à votre fichier .htaccess (à la racine de votre site) :
RewriteEngine on
RewriteCond %{REQUEST_SCHEME} =http
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Liens & Ressources
Généraliés SSL
- Certbot - Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.
- https://github.com/acmesh-official/...
An ACME Shell script, a certbot client : acme.sh
- Let’s Encrypt - Free SSL/TLS Certificates
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
- Qualys SSL Labs
SSL/TLS and PKI testing tools and documentation.
Généraliés Gandi SSL
- gandi.cli - command line interface to Gandi.net products using the public API
Fonctionnement certificat SSL sur Gandi