Plesk : Installation Certificat SSL

Ce guide explique comment installer un certificat SSL sur un serveur donné.

Vous ne pouvez suivre ces guides que si les conditions suivantes sont réalisées :

Génération du CSR sur un serveur Plesk

Allez d’abord sur votre interface client. Cliquez sur l’abonnement en question (que ce soit un hébergement mutualisé, un serveur privé ou un serveur dédié). Suivez le lien pour se rendre sur Plesk et cliquez finalement sur Certificats SSL.

Suivez ensuite le bouton Ajouter un certificat SSL.

Mettez en premier lieu le nom du certificat dans le tout premier champ de saisie. Vous pouvez l’indiquer sous la forme SSL 2018 20XX DOMAINE-TLD (le domaine et la période de commande).

• Si vous avez commandé un certificat DomainSSL, un OrganizationSSL ou un BUSINESS EV SSL, il suffit de mettre www.votredomaine.tld dans le champ Nom de domaine.

(Remplacez www.votredomaine.tld par votre domaine notamment).

• Si vous avez opté pour un certificat OrganizationSSL ou BUSINESS EV SSL Soyez très précis sur les données saisies dans ce formulaire, elles doivent être conformes aux données whois du nom de domaines, qui aussi doivent être conformes aux données de la société (sur le site https://www.infogreffe.fr/ ou http://www.societe.com/ ). Mettez de même www.votredomaine.tld dans le champ Nom de domaine.

(Remplacez www.votredomaine.tld par votre domaine notamment).

• Si vous avez acheté un certificat WILDCARD il faudra mettre cette valeur dans le champ Nom de domaine : *.votredomaine.tld 

(Remplacez bien votredomaine.tld par votre domaine notamment).

• Si le certificat est de type DomainSSL, OrganizationSSL ou BUSINESS EV SSL, pour un sous-domaine, il suffit de mettre dans le champ Nom de domaine le sous-domaine en question. Exemple : boutique.votredomaine.tld 

(Remplacez encore boutique.votredomaine.tld par les bonnes valeurs notamment).

• Si par contre il s’agit d’un certificat OrganizationSSL ou BUSINESS EV SSL Soyez très précis sur les données saisies dans ce formulaire, elles doivent être conformes aux données whois du nom de domaines, qui aussi doivent être conformes aux données de la société (sur le site https://www.infogreffe.fr/ ou http://www.societe.com/ ). Mettez de même boutique.votredomaine.tld dans le champ Nom de domaine.

(Remplacez de même boutique.votredomaine.tld par votre sous-domaine.domaine notamment).

• Si vous avez placé un certificat WILDCARD pour un sous-domaine, il faudra mettre cette valeur dans le champ Nom de domaine : *.votresousdomaine.votredomaine.tld

(Remplacez bien votresousdomaine.votredomaine.tld par votre sous-domaine.domaine notamment).

Quelque soit le type de votre commande, cliquez ensuite sur le bouton Demander.

Vous verrez enfin le certificat apparaître.

Récupérez le CSR

Cliquez d’abord sur le certificat généré pour récupérer le CSR. Puis, copiez-le car vous en aurez besoin pour la commande du certifcat SSL.

Ne perdez surtout pas le couple CSR/Clé privée. La clé privée ne doit être livrée à personne et elle ne doit être utilisée sur aucun outil en ligne, car, comme son nom l’indique, elle est privée.

Ne passez pas à l’étape suivante si le CSR n’est pas généré.

Génération du CSR sur un serveur Apache

Le CSR (Certificate Signing Request) et la clé privée sont générés par openssl. Connectez-vous d’abord en SSH sur votre serveur pour ce faire. Placez-vous ensuite dans un répertoire là où vous voulez conserver les fichiers générés (le /home par exemple).

Puis tapez la commande suivante en SSH pour avoir le chemin du répertoire dans lequel vous travaillez :

pwd

Dans cet exemple nous utilisons le domaine www.domainetest.com, veuillez adapter cette procédure avec votre nom de domaine.

1. Génération de la clé privée

Tapez d’abord la commande suivante en SSH :

openssl genrsa -out www.domainetest.com.key 2048

La clé privée est générée par la suite dans le fichier www.domainetest.com.key

2. Génération du CSR

Tapez en premier lieu la commande suivante en SSH :

openssl req -new -key www.domainetest.com.key -out www.domainetest.com.csr

Renseignez en scond lieu les informations suivantes :

[country name] Code Pays à deux lettres (FR pour la France)

[state or province name] Département ou région

[locality name] Ville/localité

[organization name] Organisation (votre Société)

[organization unit name] Service (facultatif)

[common name] Nom de domaine (avec les www.)

NE PAS ENTRER les informations suivantes :

[email address] Adresse e-mail

[challenge password] Mot de passe de challenge

[optional company name] Nom de société optionnel

Le CSR est dans le fichier www.domainetest.com.csr

Génération du CSR sur un serveur IIS

Il est conseillé de suivre le lien de la page officiel de Microsoft pour éviter toute anomalie.

La procédure change selon la version du IIS lui même.

Création de l’adresse mail de validation

Sachez d’abord qu’il n’est pas possible de générer un certificat SSL sans valider par mail la demande qui sera envoyée par l’organisme de cetification SSL.

Il est indispensable de créer l’une des adresses mail suivantes liées au domaine que vous souhaitez sécuriser par un certificat SSL:

admin@VOTREDOMAINE
administrator@VOTREDOMAINE
webmaster@VOTREDOMAINE
hostmaster@VOTREDOMAINE
postmaster@VOTREDOMAINE

De même , il est possible d’utiliser une autre adresse mail à condition qu’elle soit dans le whois de votre nom de domaine, et que le whois anonyme ainsi que la protection RGPD soient tous les deux désactivés dessus.

Strictement aucune autre adresse mail ne peut être utilisée quand à l’étape de validation si celle-ci n’est pas citée dans la liste mentionnée ci-dessus.

Pour créer l’adresse mail, et dans le cas où vous hébergez le service mail sur un serveur plesk, vous pouvez d’abord suivre ce lien d’aide pour créer l’adresse mail que vous avez choisi parmis admin, administrator, webmaster, hostmaster et postmaster.

Si par contre le service mail de votre domaine est hébergé ailleurs, il faut demander à votre prestataire de créer l’adresse mail.

Veuillez ne pas passez à l’étape suivante en cas de non création de mail.

Commande du certificat SSL

Accédez en premieu lieu à sur votre espace client et cliquez sur MARKETPLACE Parcourir de nouveaux services.

Cela vous dirige ensuite vers l’interface de commande. Cliquez sur Certificats SSL.

Choisissez par la suite le certificat qui vous convient. Voici un petit rappel des différences entre les certificats SSL proposées.

Mettez le CSR que vous avez récupéré à la première étape.

Choisissez le Type de serveur Web Plesk.

Dans ce guide nous allons prendre comme exemple le domaine magic-demo.com.

L’e-mail du validateur doit être l’une des adresses suivantes appartenant obligatoirement au domaine (un mail de confirmation sera envoyé dessus, vous devez créer l’une d’entre-elles et la mettre dans le champ E-mail du validateur pour pouvoir continuer la procédure) :

• admin@votredomaine
• webmaster@votredomaine
• administrator@votredomaine
• hostmaster@votredomaine
• postmaster@votredomaine

Titre du job : Vous pouvez l’indiquer sous la forme SSL-2018-20XX-DOMAINE-tld.

• Remplacez 20XX_ par l’année d’expiration
• Remplacez DOMAINE-tld par votre domaine-extension (.com .fr .net ..etc).

Lisez bien les conditions générales de ventes puis cliquez sur le bouton Acceptez et continuer.

Il vous reste une case à cocher pour pouvoir passer la commande.

Voila votre commande est bien passée.

Ne passez pas à l’étape suivante si la commande n’est pas payée.

Validation par mail

Si le service mail de votre domaine est hébergé ailleurs, il vous suffit de consulter l’adresse mail.

Si le service mail est hébergé chez nous, accédez à votre interface webmail ou à votre logiciel de messagerie.

Une fois dedans, vous verrez un mail envoyé de la part de RapidSSL qui contient un lien. Suivez ce lien.

Vous aurez une interface qui détaille un peu plus la commande effectuée. Lisez bien les informations avant d’approuver.

La demande étant approuvée, il vous suffit d’attendre une trentaine de minute pour recevoir les clés du certificat par mail sur l’adresse que vous avez mis

Veuillez ne pas passez à l’étape suivante en cas de non création de mail.

Installation des clés SSL sur un serveur Plesk

Dès que vous recevez ces clés par mail, il faudra revenir sur l’espace Plesk pour :

• Insérer le certificat dans le champ *.CRT.
• Insérer les certificats intermédiaires dans le champ *-CA.CRT.
  

Pour ceci, il faut appliquer les deux étapes suivantes :

1. Rendez-vous sur l’espace Plesk.
2. Cliquez sur Certificats SSL de l’abonnement en question.
3. Suivez le bouton Ajouter un certificat SSL.
4. Cliquez sur le SSL en place.
5. Copiez la clé du certificat dans le champ Certificat (*.crt).
6. Copiez TOUTES les clés que vous trouverez dans les trois fichiers suivants, et mettez les toutes dans le champ Certificat (*.ca.crt) avec un retour à la ligne entre chaque clé et celle qui la suive :
   – AffTrustExternalCARoot
   – COMODORSAAddTrustCA
   – COMODORSADomainValidationSecureServerCA

Revenez sur la section Paramètres d’hébergement.

Cochez finalement la case Prise en charge SSL et sélectionner votre certificat.

Votre site doit maintenant s’afficher avec les https. Pensez à changer de navigateur pour éviter les problèmes de cache.

Vous pouvez vérifier la bonne installation du certificat à travers de nombreux outils en ligne tels que le site https://www.sslshopper.com/ssl-checker.html

Vous voulez que HTTP://votredomaine.tld/ bascule automatiquement sur HTTPS://votredomaine.tld/ ?
Il suffit de rajouter les lignes suivantes dans le fichier .htaccess sous le répertoire httpdocs :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Attention :
Si le .htaccess contient déjà des redirections, il faudra contacter votre webmaster pour effectuer les vérifications nécessaires et éviter les problèmes de boules de redirection qui peuvent se présenter suite à cet ajout.

Note :

Une fois votre certificat SSL est installé, vous pouvez vous assurer qu’il est valide, fiable et ne donne aucune erreur en utilisant l’outil sslshopper ou tout autre outil de votre choix.

Installation des clés SSL sur un serveur Apache

Connectez-vous tout d’abord en ssh sur votre serveur LINUX.

Placez-vous dans un répertoire là où vous voulez conserver vos certificats.

Créez ensuite un fichier nommé domaine.pem (remplacez domaine par votre nom de domaine dasn l’intitulé du fichier).

Copiez le certificat CRT que vous avez reçu par mail via un éditeur de texte.

Créez un fichier intermediaire.pem et copier dedans TOUTES les clés que vous trouverez dans les trois fichiers suivants :

– AffTrustExternalCARoot
– COMODORSAAddTrustCA
– COMODORSADomainValidationSecureServerCA

Créez un fichier domaine.key (remplacez domaine par votre nom de domaine dasn l’intitulé du fichier) et copiez la clé privée dedans.

Editez votre fichier httpd.conf et rendez-vous sur la section de l’hôte virtuel que vous voulez sécuriser. La section de votre hôte virtuel devra comporter les éléments suivants :

• Fichier de chaîne de certification (SSLCertificateChainFile) ; Doit se référer aux certificats racines intermédiaires appropriés.
• Fichier de certificat SSL (SSLCertificateFile) ; Doit se référer au certificat final (.pem ou .crt).
• Fichier de clé du certificat SSL (SSLCertificateKeyFile) ; Doit se référer au fichier de clé privée associée à votre certificat.

Redémarrez Apache.

Votre site doit donc s’afficher avec les https. Pensez à changer de navigateur pour éviter les problèmes de cache.

Vous souhaitez que HTTP://votredomaine.tld/ bascule automatiquement sur HTTPS://votredomaine.tld/ ?
Il suffit de rajouter les lignes suivantes dans le fichier .htaccess sous le répertoire httpdocs :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Installation des clés SSL sur un serveur IIS

Veuillez suivre le lien de la page officiel de Microsoft pour éviter toute anomalie.

Cependant, la procédure change selon la version du IIS lui même.

Vous pouvez néamnoins suivre les étapes mentionnées sur ce lien.