Renouveler son certificat StartSSL

Pour mon site perso, j’ai choisi de sécuriser la connexion en mettant en place un certificat. Les informations entre le navigateur et le site sont donc chiffrées. Pour l’utilisation que j’en fais c’est amplement suffisant. L’avantage avec StartSSL, c’est qu’en en plus d’être complètement gratuit (c’est le seul à le faire), il n’y aura plus de message d’erreur quand la page web du site s’ouvrira (le petit cadenas apparaitra dorénavant en vert sous chrome et en gris sous firefox). Après un an d’utilisation, j’avoue être satisfait de cette solution que j’ai mis en place sur mes 3 serveurs (un sous Debian Wheezy, un sous Debian Jessie et le dernier sous FreeBSD 10.1). Ces certificats sont valables un an, il faut donc les renouveler. Cela demande juste un peu de temps et un peu d’huile de coude mais ce n’est pas insurmontable, je trouve la méthode simple. Je n’expliquerai pas la création du certificat sur StartSSL (vous pouvez suivre un bon tutoriel ici) et sa mise en place sous apache2, cela fera peut être l’objet d’un autre billet. Je me contenterai simplement de développer la marche à suivre pour son renouvellement, un renouvellement est en fait une demande de nouveau certificat :

  • S’identifier avec le même pc avec lequel la première inscription a été faite sur StartSSL (pour que le certificat défini par son email fonctionne). Sans cela la connexion à la page de gestion des certificats ne fonctionne pas. On peut aussi exporter le certificat et le sauvegarder précieusement afin de pouvoir l’installer sur un autre ordinateur
  • Redemander la validation de son nom mail (Validation wizard –> Email) (valide 30 jours)
  • Redemander la validation de son nom de domaine (Validation wizard –> domain name) (valide 30 jours)
  • Renouveller d’abord le certificat de connexion pour son navigateur (Certificate wizard –> s/mine) (valide 1 an). L’accès à l’interface de gestion se fait directement via le navigateur, aucun login et mot de passe à rentrer.
  • Renouveller tous les noms de domaine (Certificate wizard –> Web server) (valide 1 an). Cela doit être fait pour tous les sous domaines si l’on en a plusieurs (www, admin, etc…)
  • Aujourd’hui, un certificat 2048 bits est le minimum requis, avec une signature sha2 ou sha256 (sinon un message d’erreur apparaîtra lors de l’ouverture de votre page web), et utiliser le certificat intermédiaire de startssl en sha2 est mieux, il se trouve ici (sub.class1.server.sha2.ca.pem) et le certificat racine (Autorité de Certification StartSSL) se trouve (ca-sha2.pem).
    Votre pouvez maintenant sécuriser votre (ou vos) site(s) web.

  • Bienvenue sur BSDfr.net

    Bienvenue sur BSDfr.net – Ce blog a pour simple but de me servir d’aide mémoire et de partager modestement mes connaissances sur les systèmes BSD (FreeBSD principalement). Il est hébergé sur une machine ayant les caractéristiques suivantes :

    • Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
    • DD : Seagete ST500DM002 500Go + Western Digital WD1600AAJS 160 Go
    • Ram 2048 Mo DDDR2
    • OS : FreeBSD 10.1-RELEASE
    • Logiciels : Apache, Mysql et Php