Print Friendly, PDF & Email

Les certificats StartSSL/WoSign ne sont toujours pas reconnus par les navigateurs de Google, Apple et Mozilla. Et les problèmes de StartSSL/WoSign, qui ont débuté en 2016, s’accumulent car Microsoft vient d’annoncer ne plus faire confiance à leurs certificats à partir de septembre 2017.

Dommage car la gratuité chez StartSSL allait très loin avec la possibilité de création illimitée de certificats SSL et S/MIME d’une validité de 2 ans vs seulement 3 mois pour les certificats SSL Let’s Encrypt…

Il est toutefois temps de trouver une autre solution, notamment pour les URL publiques comme le site Web (www), en espérant qu’on pourra toujours utiliser les certificats clients StartSSL pour signer les mails, s’authentifier sur OpenVPN ou le Wifi.

La seule alternative gratuite et viable du moment est celle proposée par Let’s Encrypt. Le NAS Synology propose déjà cette solution, toutefois la procédure vous oblige à ouvrir le port 80 sur le routeur, ajouter des règles sur les firewall, etc…

Une solution plus souple, complète et disponible sur le Web existe : c’est ZeroSSL qui la propose et on va voir comment créer un certificat SSL Let’s Encrypt sur ce site Web.

Création du CSR

La première chose à faire est de créer un CSR (Certificate Signing Request).

Pour créer le certificat CSR, rendez-vous sur le site ZeroSSL et cliquez sur le bouton Online Tools :

Vers la fin de la page, dans le menu CSR Generator, cliquez sur le bouton Start :

Complétez les différents champs proposés et notamment l’URL du site pour lequel on va créer un certificat SSL, www.monsite.com dans cet exemple :

Cliquez sur le bouton Generate et le site vous demandera alors si vous souhaitez inclure le domaine (monsite.com), répondez à la question selon votre besoin et le CSR ainsi que la clé privée sont alors créés :

Cliquez sur le bouton Download pour chaque certificat et renommez-les au bon format : www.monsite.com.csr pour le CSR et www.monsite.com.key pour la clé privée.

 

Création du certificat SSL

Pour créer le certificat SSL de votre serveur, revenez sur la page principale et dans le menu FREE SSL Certificate Wizard, cliquez sur le bouton Start :

Cochez les cases DNS verification, Accept ZeroSSL TOS et Accept Let’s Encrypt SA. Complétez l’adresse mail, insérez le CSR précédemment créé et cliquez sur le bouton Next :

Une clé privée Let’s Encrypt est alors créée. Sauvegardez-là car elle servira à créer et à renouveler les certificats SSL. Cliquez sur le bouton Next pour continuer :

Comme nous avons choisi la vérification DNS, plus facile et rapide à mettre en oeuvre que la vérification HTTP, on nous indique alors la procédure à suivre qui consiste à créer une zone DNS de type TXT avec les informations suivantes :

Par exemple chez OVH, sélectionnez votre nom de domaine, puis la Zone DNS puis cliquez sur le bouton Ajouter une entrée et enfin cliquez sur le bouton TXT. Saisissez les valeurs ci-dessus dans les champs prévus à cet effet puis terminez en cliquant sur le bouton Suivant :

Il faut maintenant attendre quelques minutes pour que l’enregistrement DNS se propage avant de terminer la procédure sur le site ZeroSSL en cliquant sur Next :

Le certificat est alors créé, sauvegardez les deux parties séparément :

  • la première partie, c’est le certificat SSL à sauvegarder sous le nom www.monsite.com.crt
  • la seconde partie, c’est le CA à sauvegarder sous le nom ca-lets-encrypt.crt

 

Installation du certificat SSL sur le NAS

Sur DSM, rendez-vous sur le Panneau de configuration, Sécurité, Certificat, cliquez sur le bouton Ajouter, choisissez Ajouter un nouveau certificat et cliquez sur Suivant :

Décrivez le certificat et choisissez Importer le certificat avant de continuer en cliquant sur le bouton Suivant :

Saisissez les 3 certificats précédemment sauvegardés :

  • Clé privée : www.monsite.com.key
  • Certificat : www.monsite.com.crt
  • Certificat intermédiaire : ca-lets-encrypt.crt

Le certificat SSL www.monsite.com est importé, cliquez sur le bouton Configurer pour l’affecter au site Web (www) :

 

Renouvellement du certificat SSL

Pour renouveler le certificat SSL, il suffit de recommencer la création d’un certificat SSL en insérant la clé privée Let’s Encrypt et le CSR que vous avez préalablement sauvegardés lors de la première création puis de continuer la procédure comme indiquée plus haut.

Droit d’auteur de l’image à la une : vska / 123RF Banque d’images