Accueil › Créer un certificat SSL pour un serveur Web

Créer un certificat SSL pour un serveur Web

Soumis par Sylvain Lasnier le 20/03/2010 , modifié le 17/01/2012
in
Alerte de mauvais certificat SSL

Savez-vous signer vos pages Web ?

Un certificat SSL est nécessaire pour utiliser le protocole HTTPS sur un serveur Web.
Il permet de crypter et de signer des documents.

Cet article vous présente comment créer un certificat auto-signé et un certificat certifié par un tiers pour un serveur Web sous Linux Ubuntu.

Installer OpenSSL

En ligne de commande :

# aptitude install openssl

Créer un certificat SSL auto-signé

Ce certificat est immédiatement disponible mais un message d'alerte sera affiché à vos visiteurs indiquant que votre identité n'a pas été contrôlée et est peut-être usurpée. Ce type de certificat est à réserver aux plateformes de test.

# openssl req -new -x509 -days 700 -nodes -out /etc/ssl/server.crt -keyout /etc/ssl/server.key

A la question Common Name, indiquez exactement le CNAME du serveur, par exemple www.webstrat.fr. Sinon, le navigateur affichera une alerte d'usurpation d'identité à vos visiteurs.

Créer un certificat SSL signé par un tiers de confiance

Le rôle d'un tel certificat est de rassurer vos visiteurs. Pour l'obtention d'un certificat signé, un organisme indépendant va contrôler dans le monde réel votre identité en vous demandant des documents d'organismes d'État.

Les organismes les plus connus sont VeriSign, Thawte, GlobalSign. Le prix annuel d'un certificat chez ces entreprises varie de 250$ à 1500$.
D'autres compagnies, comme les hébergeurs OVH et Gandi, vendent également des certificats moins chers. Mais ces compagnies n'ont pas la même reconnaissance du grand public et peuvent ne pas être reconnu comme un tiers de confiance par certains navigateurs.

Pour obtenir une clé de confiance, il vous faudra émettre un Certificate Signing Request auprès du tier. Celui-ci vous retournera votre certificat signé.

Voici le mode opératoire :

# openssl genrsa -out server.key 1024
# openssl req -new -key server.key -out server.csr

Envoyez le fichier server.csr au tier de confiance avec l'ensemble des documents officiels demandés pour le contrôle. Celui-ci vous retournera votre certificat server.crt

Utiliser un certificat SSL

Pour utiliser un certificat SSL dans une configuration Apache, inspirez vous de cet exemple de configuration de VHost :

<VirtualHost *:443>
ServerName www.monsite.com
DocumentRoot /var/www/monsite.com
    SSLEngine on
    SSLCertificateFile      /etc/ssl/server.crt
    SSLCertificateKeyFile /etc/ssl/server.key
</VirtualHost>

Certains programme ont besoin d'un fichier PEM. C'est le cas du proxy HTTPS Pound.

Pour créer ce fichier pem :

# cat server.crt server.key > server.pem