Accueil  / Actualités, tutos & veille internet / Un site sécurisé avec certificat TLS chez Gandi

Un site sécurisé avec certificat TLS chez Gandi
Un site sécurisé avec certificat TLS chez Gandi

Installer un certificat SSL/TLS sur un serveur Simple Hosting pour un domaine hébergé chez Gandi
Le but est d’installer un certificat SSL pour sécuriser un domaine. La sécurisation ne concerne pas les données stockées en elles-mêmes mais les transmissions serveur / internaute. L’URL du site sécurisé s’affichera dans le navigateur avec https:// et non plus http:// (cf l’épisode précédent @|LIEN7a7c697|Wy0+YXJ0MTU3XQ==|@).

Update [16/08/2017] : les certificats SSL Gandi Standard 1 adresse sont gratuits pour Simple Hosting
Il est maintenant possible d’avoir des certificats SSL auto-installés chez Gandi pour toutes les tailles de serveur Simple Hosting, Il faut pour cela utiliser la nouvelle interface d’administration (appelée #gandiV5).
Il était grand temps pour Gandi car la concurrence n’a pas attendu, elle.

La procédure ci-dessous est valable à partir d’un compte utilisateur Gandi qui a les droits sur le domaine (propriétaire et/ou contact technique et/ou revendeur). Vous devrez utiliser la ligne de commande (console Linux ou bien Putty sous Windows).

Le premier certificat activé pour un domaine acheté chez Gandi est gratuit pour un an (1 par domaine)

La procédure ci-dessous est un pas-à-pas. Pour en savoir plus sur les certificats SSL et les variantes/possibilités non abordées ici voir les liens en bas de page.

Préliminaire a la commande

Connectez-vous à votre compte Gandi : https://gandi.net/login
Aller sur la page de votre instance simple hosting : https://admin.gandi.net/simplehosting/

Activer la console SSH pour cette instance :

Cliquer sur Activer > Console SSH 	Se connecter 	Activer

Attendre quelques secondes que l’activation soit effective (elle le restera 2 heures)

Commander le certificat

Générer le certificat et la clé

Dans un terminal sur Linux (Putty si vous êtes sous Windows) connectez-vous à votre instance :

~$ ssh xxxxxx@console.dc2.gpaas.net (xxxxx est le numéro d’instance simple hosting)

Réponse du serveur :

Press [Enter] to start a shell

Indiquez dans quel répertoire la clé et le certificat seront envoyés :
hosting-user@nominstance:/srv/data$ cd /srv/data/tmp        

Copier le code généré plus haut via la page https://gandi.net/ssl/create/openssl :
Exemple de code factice :
hosting-user@nominstance:/srv/data/tmp$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out site.org.csr -keyout site.org.key -subj '/C=FR/CN=site.org'

Réponse du serveur :

Récupérer le certificat et la clé

Allez (via ftp) récupérer votre certificat et la clé depuis le répertoire /tmp vers un lieu sûr (par exemple votre PC) :
Chemin d’accès aux fichiers créés :
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.csr
sftp://n°instance@sftp.dc2.gpaas.net/lamp0/tmp/site.org.key

Une fois rapatriés vous pouvez supprimer ces fichiers du serveur.

Finaliser la commande

  • Ouvrir le fichier .csr récupéré
  • Copier tout son contenu
  • Retourner sur la page https://gandi.net/ssl/create/csr
  • Coller le contenu du fichier .csr dans le formulaire
  • Vérifier que le domaine indiqué dans « Domaine (CN) principal » est correct.
  • Valider puis confirmer la commande.

Vous recevez un email de Gandi confirmant la commande. Si votre domaine est hébergé chez Gandi et que vous en êtes propriétaire ou contact technique les étapes ultérieures de mises en place sont automatiques (y compris l’ajout d’un champ dans la zone DNS)
Sinon suivez les demandes de validation que vous envoie Gandi (l’email de contact doit être valide).

Le propriétaire du nom de domaine reçoit un email mentionnant qu’un certificat SSL a été acheté pour son domaine.

Activation

Vous allez recevoir un email de confirmation d’activation avec un lien pour récupérer votre clé et le certificat intermédiaire (à garder en lieu sûr).

Si votre domaine ne s’affiche pas en https ajouter à votre fichier .htaccess (à la racine de votre site) :

RewriteEngine on
RewriteCond %{REQUEST_SCHEME} =http
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Liens & Ressources

Généraliés SSL

  • Certbot - Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.

Généraliés Gandi SSL

  • gandi.cli - command line interface to Gandi.net products using the public API

Fonctionnement certificat SSL sur Gandi

Publié le 28 février 2017
Mis à jour le 11 mars 2023