1. Démarrer la commande :
- Accédez à l’onglet "Certificats SSL".
- Cliquez sur le bouton “⊕ Nouveau Certificat SSL”.
- Les certificats SSL peuvent être affichés par « Marque » (autorité de certification), ou par type/niveau de « Validation » (Standard / DV, OV, EV).
- Choisissez le certificat SSL dont vous avez besoin et cliquez sur « Ajouter au panier » au bas de la colonne correspondante pour ajouter le certificat sélectionné.
Note : Pour obtenir des conseils sur le choix de votre certificat et la sélection du type de validation SSL approprié, reportez-vous à la fin de cet article, ou bien contactez notre service commercial. Si vous n'êtes pas encore client, vous pouvez utiliser notre formulaire de contact.
2. Accéder au formulaire et renseigner les données nécessaires :
Cliquez sur le lien « Données supplémentaires requises » dans la colonne « Demande complète ? ».
3. Ajouter la CSR (Certificate Signing Request) :
Copiez - collez la CSR dans l’espace prévu à cet effet, puis cliquez sur « Lire la CSR » pour vérifier les détails que vous avez insérés.
4. Indiquer l'Email de Validation :
L’adresse e-mail d’approbation doit correspondre à l’enregistrement WHOIS du domaine pour la création du certificat. Lors de l’évaluation d’une CSR, les adresses e-mail potentielles deviendront apparentes. Si notre système peut récupérer automatiquement un e-mail à partir du WHOIS du domaine, il affichera l’e-mail de l’administrateur indiqué au WHOIS.
Pour des raisons pratiques, les adresses e-mail d’approbateur prédéfinies suivantes peuvent également être utilisées :
- admin@...
- administrator@...
- hostmaster@...
- webmaster@...
- postmaster@...
5. Sélectionner la Méthode d'authentification ou de validation de domaine :
- Email : Un lien de validation est envoyé à l’adresse e-mail de l’approbateur.
- Enregistrement DNS (TXT) : Des enregistrements de ressources spécifiques sont nécessaires pour chaque hôte. Ces enregistrements seront ajoutés automatiquement si la zone DNS est gérée auprès de nos services.
- Fichier sur le serveur web : Un fichier spécifique avec un contenu précis doit être déposé et hébergé sous un chemin particulier sur un serveur Web (HTTP ou HTTPS).
NB : Les méthodes d'authentification peuvent varier selon le certificat et.ou l’autorité de certification.
6. Ajouter des contacts associés au certificat
- Ajoutez un Contact Titulaire (obligatoire pour tous les certificats).
-
Pour les certificats OV / EV uniquement, il faudra aussi renseigner un Contact de l’organisation (OV/EV), et une Personne de contact de l’organisation (OV/EV).
Pour trouver un contact, saisissez n'importe quelle donnée associée au contact voulu.
→ Aide à la création de contact
Important :
• Caractères : Tous les contacts associés aux certificats SSL ne doivent pas contenir d'accents, ni de trémas ou de caractères spéciaux.
• Région : Vous devez renseigner un état/province ou région (le choix "Autre" n'est pas accepté).
• Civilité : Vous devez également inclure une civilité (M. ou Mme) lorsqu'il s'agit d'une personne physique (Personne de contact de l’organisation).
• Pour les certificats OV / EV :
→ Votre "Contact de l'organisation" ne doit pas indiquer de Nom et Prénom : laissez les champs vides (cela permettra d'avoir une typologie O-handle).
→ Votre "Personne de contact de l’organisation" (typologie P-handle) doit impérativement indiquer la même organisation que celle listée dans votre "Contact de l'organisation", ainsi que le Nom et le Prénom d'une personne physique travaillant au sein de celle-ci, avec sa civilité et son rôle.
Il doit impérativement indiquer une organisation ainsi qu'une adresse postale et un numéro de téléphone fixe valides et vérifiables sur une base d'annuaire officielle (Pages jaunes, Kompass, etc.).
Les noms génériques comme « Gestionnaire de domaine » ou « Domain Manager » ne sont pas autorisés.
Le numéro de téléphone indiqué doit obligatoirement être une ligne directe, fixe ou mobile.
Certificat standard ou DV
Certificat OV / EV
7. Autres champs :
Les autres entrées sont facultatives et internes au Portail, pour votre propre gestion.
8. Enregistrer vos modifications :
Pour terminer, cliquez sur « Mettre à jour la commande de certificat SSL » afin de valider le formulaire.
9. Finaliser la commande :
- Choisir le nom de domaine.
- Cliquer sur “Soumettre la Commande”. C'est terminé !
10. Vérification de votre demande, validation et livraison de votre certificat :
Votre commande est maintenant passée et votre demande de certificat est en cours auprès de l'autorité de certification que vous avez choisie.
Vous recevrez les instructions à suivre directement de la part des autorités de certification, et votre certificat vous sera livré par email à l'adresse renseignée sur votre compte client et.ou vous pourrez récupérer votre certificat directement sur le Portail SafeBrands, dans l'onglet "Certificats SSL".
Votre certificat vous sera délivré au format CRT, mais dans l'extension .TXT. Les certificats intermédiaires sont envoyés en même temps que le certificat lui-même. Les fichiers de certificat téléchargés auront l'extension de nom de fichier .TXT, mais vous pouvez renommer le fichier et.ou changer son extension en .CRT, .PEM ou .CER par exemple sans en affecter sa fonctionnalité.
Important : Nous nommons les fichiers certificats joints dans l’e-mail de livraison certificate-crt.txt and intermediate-pem.txt pour assurer la bonne réception de ces derniers, et éviter qu'ils ne soient détectés comme potentiels fichiers malveillants et bloqués. Ainsi, nous n’utilisons plus .pem ou .crt comme extensions de nom de fichier car de nombreux logiciels de protection contre les virus et logiciels malveillants suppriment les pièces jointes avec de telles extensions. Cependant, nous définissons correctement le type MIME, respectivement à application/x-x509-ca-cert et application/x-pem-file.
Le format PEM notamment, est également utilisé pour stocker les clés privées et les demandes de signature de certificat (CSR):
Une clé privée au format PEM aura l'extension .key et l'en-tête et le pied de page
-----BEGIN RSA PRIVATE KEY----- ainsi que -----END RSA PRIVATE KEY-----.
Un format PEM CSR aura l'extension .csr et l'en-tête et le pied de page
-----BEGIN CERTIFICATE REQUEST----- ainsi que -----END CERTIFICATE REQUEST-----.
Les certificats racines (ROOT) font partie intégrante de chaque navigateur web et système d’exploitation, et peuvent être téléchargés publiquement. Les certificats racines (ROOT) ne font donc pas partie de notre livraison. Sous Windows, le Gestionnaire de certificats gère les certificats racines approuvés. Sur Mac, les certificats racines se trouvent dans le Trousseau d’accès. Sous Linux, ils vont sous /etc/ssl. Les autorités de certification mettent à votre disposition leurs certificats racines et intermédiaires en téléchargement sur leur site Web.
-----------------------------------------------------------------------------------------------------------------------------------
Il existe trois types de validation :
- La Validation de Domaine (DV) vérifie que le demandeur dispose des droits d'administration sur le domaine listé dans le certificat (correspond à un certificat standard).
- La Validation d'Organisation (OV) comprend l'authentification de l'identité de l'entreprise, la vérification du nom de domaine et la vérification que le contact de l'organisation qui effectue la demande de certificat au nom de l'entreprise ou de l'organisation est bien un employé de cette organisation.
- La Validation Étendue (EV) est le niveau d'authentification le plus élevé et nécessite une reconnaissance ou un accord signé par l'entreprise.
Comprendre les Certificats SSL
Les certificats SSL servent de bouclier de protection pour les transferts de données en ligne, mais tous les certificats ne se valent pas et ne sont pas créés dans le même but. Examinons les différences entre un certificat SSL Standard couramment utilisé et un certificat à Validation Etendue (EV - Extended Validation), plus rigoureux.
Différences entre un certificat SSL Standard et un certificat à Validation Etendue (EV)
-
Niveaux de validation : Bien que les deux types de certificats SSL offrent un chiffrement conforme aux normes et standards de l’industrie, leur niveau de validation diffère. En règle générale, lorsqu’on fait référence à un « certificat SSL "standard », on fait référence à un seul domaine, un certificat SSL validé par domaine (DV). Ces certificats sont rapidement enregistrés et abordables, mais peuvent ne pas fournir le niveau de confiance souhaité pour couvrir tous les besoins et activités de l’entreprise. D’autre part, un certificat à validation étendue (EV) implique un processus de validation méticuleux où l’autorité émettrice vérifie plusieurs facettes de votre entreprise, garantissant ainsi un niveau de confiance plus élevé.
- Disparité des prix : Vous vous demandez peut-être pourquoi les certificats EV ont un prix plus élevé que les certificats SSL standards. La réponse se trouve dans le processus de validation détaillé. Les efforts et les ressources supplémentaires déployés par l’autorité de certification pour vérifier et délivrer un certificat EV se traduisent naturellement par un coût plus élevé.
Considérations relatives aux certificats à validation étendue (EV)
Avant d’opter pour un certificat EV, tenez compte des points suivants :
- Urgence : Besoin d’un certificat très rapidement ou à moindre coût ? Un certificat SSL Standard pourrait vous convenir.
- Indice de confiance : S'il est capital de rassurer et inspirer une confiance maximale à vos visiteurs, et que vous souhaitez faire preuve d’un engagement sérieux en matière de sécurité, un certificat EV devrait être votre choix.
- Nature de votre Site Web : Les sites qui gèrent des données de commerce électronique (e-commerce), de finance, de santé ou de toute autre donnée sensible devraient idéalement se tourner vers les certificats EV pour renforcer leur crédibilité et leur sécurité.
Assistance et Bonnes pratiques :
Plus d'informations : Qu'est-ce qu'un certificat SSL ? et Pourquoi ai-je besoin d'un certificat SSL ?
Outils de génération CSR :
- Générer une CSR pour SSL avec SSL Dragon
- CSR generator - Open Source (MIT license)
- Coder's tool - CSR generator
Conversion au format .PFX
Il arrive parfois que vous souhaitiez avoir un package auto-installable du certificat (.PFX), il faudra pour cela avoir la clef privée en votre possession sinon cela ne sera pas possible.
Voici la procédure à suivre :
- Installer OpenSSL (https://slproweb.com/products/Win32OpenSSL.html, disponible aussi pour MacOS, https://www.slingacademy.com/article/how-to-install-upgrade-openssl-with-homebrew/)
- Déposer sous votre dossier utilisateur de l'ordinateur (exemple : C:\Users\JohnDoe) le certificat (au format certificat avec chaîne .PEM) et la clef privée.
- Sur votre Bloc Note / Notepad / TextEdit préparez un mot de passe robuste (mélanger des chiffres et des lettres avec minimum 8 caractères)
- Lancer OpenSSL (pour Windows, cliquez sur le logo Windows en bas à gauche, cherchez le dossier OpenSSL et lancez "Win64 OpenSSL Command Prompt")
- Taper la commande suivante :
openssl pkcs12 -export -out nomdevotrefichier.pfx -inkey nomdevotrecléeprivée.key -in nomdevotrecertificat.pem
- Une fois la commande lancée, il va y avoir un prompt pour saisir le mot de passe que vous avez préparé plus haut : le saisir deux fois (NB : le curseur ne semble pas réagir, mais le mot de passe et bel est bien pris en compte)
- Une fois le mot de passe validé deux fois consécutivement, le fichier .PFX sera créé (conservez ce mot de passe pour pouvoir utiliser votre fichier .PFX par la suite).
- Astuce : il est plus simple de créer votre mot de passe dans un bloc note, de le copier, et de le coller dans la fenêtre Openssl
- Récupérer votre fichier .PFX dans le même dossier que celui où vous aviez déposé le certificat et la clef privée
- C'est terminé !
Autres liens utiles :
• Fabriquer un pkcs12 (.pfx ou .p12) à partir de fichiers pour openssl (.pem , .cer, .crt, …) avec TBS : https://www.tbs-certificats.com/FAQ/fr/288.html
• SECTIGO SSL Converter - Convert the Format of Any SSL Certificate : https://sectigostore.com/ssl-tools/ssl-converter.php
• Convert your P7B Certificate to PFX : https://www.veritech.net/convert-p7b-certificate-pfx/