Un site sécurisé avec certificat TLS chez Gandi

Update [16/08/2017] : les certificats SSL Gandi Standard 1 adresse sont gratuits pour Simple Hosting
Il est maintenant possible d’avoir des certificats SSL auto-installés chez Gandi pour toutes les tailles de serveur Simple Hosting, Il faut pour cela utiliser la nouvelle interface d’administration (appelée #gandiV5).
Il était grand temps pour Gandi car la concurrence n’a pas attendu, elle.

La procédure ci-dessous est valable à partir d’un compte utilisateur Gandi qui a les droits sur le domaine (propriétaire et/ou contact technique et/ou revendeur). Vous devrez utiliser la ligne de commande (console Linux ou bien Putty sous Windows).

Le premier certificat activé pour un domaine acheté chez Gandi est gratuit pour un an (1 par domaine)

La procédure ci-dessous est un pas-à-pas. Pour en savoir plus sur les certificats SSL et les variantes/possibilités non abordées ici voir les liens en bas de page.

Préliminaire a la commande

Connectez-vous à votre compte Gandi : https://gandi.net/login
Aller sur la page de votre instance simple hosting : https://admin.gandi.net/simplehosting/

Activer la console SSH pour cette instance :

Cliquer sur Activer > Console SSH 	Se connecter 	Activer

Attendre quelques secondes que l’activation soit effective (elle le restera 2 heures)

Commander le certificat

• Aller sur la page de gestion du domaine à sécuriser : https://gandi.net/admin/domaine/detail/
  Cliquer sur Acheter (Certificat SSL : Inactif (Acheter))
• Remplissez le formulaire de demande : https://gandi.net/ssl/create/openssl
• Cliquer sur « générer »
• Copier le code qui s’affiche en bas.

Générer le certificat et la clé

Dans un terminal sur Linux (Putty si vous êtes sous Windows) connectez-vous à votre instance :

~$ ssh xxxxxx@console.dc2.gpaas.net (xxxxx est le numéro d’instance simple hosting)

Réponse du serveur :

Press [Enter] to start a shell

Indiquez dans quel répertoire la clé et le certificat seront envoyés :
hosting-user@nominstance:/srv/data$ cd /srv/data/tmp        

Copier le code généré plus haut via la page https://gandi.net/ssl/create/openssl :
Exemple de code factice :
hosting-user@nominstance:/srv/data/tmp$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out site.org.csr -keyout site.org.key -subj '/C=FR/CN=site.org'

Réponse du serveur :

Récupérer le certificat et la clé

Allez (via ftp) récupérer votre certificat et la clé depuis le répertoire /tmp vers un lieu sûr (par exemple votre PC) :
Chemin d’accès aux fichiers créés :
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.csr
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.key

Une fois rapatriés vous pouvez supprimer ces fichiers du serveur.

Finaliser la commande

• Ouvrir le fichier .csr récupéré
• Copier tout son contenu
• Retourner sur la page https://gandi.net/ssl/create/csr
• Coller le contenu du fichier .csr dans le formulaire
• Vérifier que le domaine indiqué dans « Domaine (CN) principal » est correct.
• Valider puis confirmer la commande.

Vous recevez un email de Gandi confirmant la commande. Si votre domaine est hébergé chez Gandi et que vous en êtes propriétaire ou contact technique les étapes ultérieures de mises en place sont automatiques (y compris l’ajout d’un champ dans la zone DNS)
Sinon suivez les demandes de validation que vous envoie Gandi (l’email de contact doit être valide).

Le propriétaire du nom de domaine reçoit un email mentionnant qu’un certificat SSL a été acheté pour son domaine.

Activation

Vous allez recevoir un email de confirmation d’activation avec un lien pour récupérer votre clé et le certificat intermédiaire (à garder en lieu sûr).

Si votre domaine ne s’affiche pas en https ajouter à votre fichier .htaccess (à la racine de votre site) :

RewriteEngine on
RewriteCond %{REQUEST_SCHEME} =http
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Liens & Ressources

Généraliés SSL

• Certbot - Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.

• Certbot - Frequently Asked Questions

• SSL and TLS Deployment Best Practices · ssllabs/research Wiki · GitHub

• Security/Server Side TLS - MozillaWiki

• https://github.com/acmesh-official/...
  An ACME Shell script, a certbot client : acme.sh

• Let’s Encrypt - Free SSL/TLS Certificates
  Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).

• Qualys SSL Labs
  SSL/TLS and PKI testing tools and documentation.

Généraliés Gandi SSL

• Foire aux questions SSL - Gandi Docs

• Nom de domaine - Gestion et activation de Gandi API XML - Gandi.net

• Overview — Gandi API 3.3.36 documentation

• GitHub - Gandi/gandi.cli : command line interface to Gandi.net products using the public API

• gandi.cli - command line interface to Gandi.net products using the public API

• La console SSH sur Simple Hosting - Gandi Docs

• Open SSL - Gandi.net

Fonctionnement certificat SSL sur Gandi

• Comment générer la CSR ? - Gandi Docs

• Renouvellement de votre certificat - Gandi.net

• Gandi et Let’s Encrypt - Gandi Docs

• La méthode DCV (Domain Control Validation) - Gandi Docs

• Installer un certificat sur son instance - Gandi Docs

• Forcer https sur Simple Hosting avec .htaccess - Gandi Docs