Configurer un certificat SSL sur OVH Release 3

Ecrit par Nils Schaefer, publié le 28/03/2017

Le protocole HTTPS

Le protocole HTTPS est utilisé pour assurer le cryptage des échanges entre le navigateur et le serveur Web. Fondamental pour tous les échanges critiques (paiement en ligne...), il s'est répandu aux différents échanges de données (authentification, mise en ligne de données...). De nombreux sites comme Facebook, Google... ont fait le choix de basculer la totalité des échanges sur le protocole HTTPS.

Depuis quelques temps déjà, les navigateurs mettent en garde les utilisateurs contre les sites qui n'utilisent pas le protocole HTTPS sur les pages contenant un formulaire d'authentification. En fonction des navigateurs, le visuel est plus ou moins différent. Sous Firefox, l'absence de protocole HTTPS est matérialisée par un cadenas barré.

Page de connexion sans HTTPS

Lorsqu'on clique sur le cadenas, un message encore plus explicite est affiché.

Page de connexion sans HTTPS (Avertissement)

Depuis peu, le message d'avertissement, relativement discret jusqu'ici, est devenu beaucoup plus intrusif car il est affiché directement au niveau des champs du formulaire permettant de se connecter.

Inutile de préciser que l'utilisateur ne peut plus le rater et que sa confiance envers le site va se trouver très largement remise en question.

Page de connexion sans HTTPS (Formulaire)

Vous l'avez compris il est temps d'agir et de faire en sorte que votre site soit compatible avec le protocole HTTPS.

Le certificat SSL

D'un point de vue technique, il est possible de mettre en place le protocole HTTPS sans avoir besoin d'un certificat externe. On parle alors d'un certificat auto-signé. En clair, c'est tout simplement votre site qui donne la garantie que... votre site est fiable. Au niveau sécurité ce n'est pas acceptable et cela conduira le navigateur de vos utilisateurs à afficher un message d'avertissement.

Sur votre installation OVH Release 3, le protocole HTTPS est déjà configuré et opérationnel. Vous passez effectivement déjà par une connexion HTTPS pour accéder à Webmin ou à PHPMyAdmin mais il s'agit bien ici d'un certificat auto-signé.

Il existe différents types de certificats SSL :

  • Le certificat DV (Domain Validation) offre la garantie que le site sur lequel se trouve l'utilisateur est associé à un certificat SSL.

  • Le certificat OV (Organization Validation) offre en plus la garantie que l'organisation qui exploite le nom de domaine existe.

  • Le certification EV (Extended Validation) offre une garantie que des vérifications supplémentaires concernant l'organisation ont été réalisées.

L'achat du certificat SSL sur 1&1

OVH ayant arrêté de vendre des certificats SSL depuis quelques temps, nous allons nous tourner vers les certificats SSL vendus sur le site 1&1.

1&1 propose 3 certificats SSL :

  • Le certificat SSL STARTER (DV) qui concerne un domaine (et le sous domaine www).

  • Le certificat SSL STARTER PLUS (DV) qui concerne un domaine et tous les sous-domaines.

  • Le certificat SSL STARTER BUSINESS (OV) qui concerne également un domaine et tous les sous-domaines.

Nous allons choisir le certificat SSL STARTER qui est le moins cher et qui va répondre à notre besoin initial pour l'instant : rassurer nos utilisateurs. Finaliser la commande et le paiement du certificat SSL. Vous remarquerez que durant tout le processus, il n'est jamais fait mention du nom de domaine concerné. C'est tout à fait normal, le certificat SSL commandé devra ensuite être configuré et c'est à ce moment que nous indiquerons le nom de domaine associé.

La configuration du certificat SSL sur 1&1

Une fois l'achat finalisé, nous allons donc configurer notre certificat SSL. Pour cela connectez-vous à votre compte 1&1 et accédez à la rubrique "Certificats SSL".

Certificat SSL non configuré

Cliquez sur le bouton "Configurer un certificat SSL" puis indiquez le nom de domaine que vous souhaitez associer. Vous devriez obtenir un écran similaire à celui-ci.

Certificat SSL - Configuration du domaine

Pensez à créer un alias au niveau de votre serveur de messagerie pour avoir l'adresse hostmaster puis valider la création du certificat avec le bouton "Configurer un certificat SSL". Une fenêtre vous demande de confirmer que vous allez bien recevoir les emails envoyés à l'adresse hostmaster sur votre domaine.

Une fenêtre vous propose ensuite de télécharger votre clé privée. Pensez bien à la télécharger car elle ne sera plus récupérable par la suite.

Téléchargement de la clé privée du certificat SSL

Dans notre cas le fichier contenant la clé privée porte le nom www.allo-pere-noel.com_private_key.key.

Vous arrivez ensuite sur la fenêtre suivante qui vous permet d'avoir accès à des informations additionnelles sur votre certificat. Cliquez sur le bouton "Vers l'aperçu".

Informations additionnelles sur le certificat SSL

Vous arrivez alors sur l'écran initial vous indiquant que le certificat est en cours de validation. Vous pouvez remarquer que pour l'instant aucune date de validité n'est indiquée.

Informations additionnelles sur le certificat SSL

Vous devez maintenant regarder l'email envoyé sur la boite hostmaster de votre domaine. Cet email contient un lien qui va vous permettre d'activer le certificat.

Email de confirmation du certificat SSL

Cliquez sur le lien de confirmation puis sur la page affichée cliquez sur le bouton "J'approuve" après avoir vérifié que vos informations sont bien correctes.

L'activation de votre certificat est maintenant terminée. Quelques instants après avoir accepté la validation du certificat vous devriez constater que votre certificat a été mis à jour sur l'interface de 1&1.

Le certificat SSL est bien activé

Nous allons maintenant récupérer les fichiers nécessaire à la mise en place du certificat SSL sur notre serveur installé sur une OVH Release 3. Cliquez sur le nom de domaine pour accéder à la page des paramètres du certificat SSL. En bas de la page vous allez trouver la rubrique des paramètres avancés.

Paramètres avancés du certificat SSL

Téléchargez maintenant le certificat SSL ainsi que le certificat intermédiaire.

Nous disposons des 3 fichiers nécessaires à la bonne mise en place du certificat SSL sur notre serveur :

  • La clé privée (www.allo-pere-noel.com_private_key.key)

  • Le certificat (www.allo-pere-noel.com_ssl_certificate.cer)

  • Le certificat intermédiaire (allo-pere-noel.com_ssl_certificate_INTERMEDIATE)

La mise en place du certificat sur OVH Release 3

Connectez-vous maintenant à l'interface Webmin de votre serveur dédié disposant d'une installation OVH Release 3.

Rendez-vous dans la rubrique "Serveurs" puis dans la sous-rubrique "Serveur Web Apache". Vous arrivez alors sur la liste des hôtes virtuels existants sur votre serveur Web.

Paramètres avancés du certificat SSL

Nous partons du principe que le domaine a déjà été installé. Vous disposez donc d'un site accessible avec le protocole HTTP.

Nous allons maintenant mettre en place l'hôte virtuel permettant de rendre accessible le site en passant par le protocole HTTPS. Cliquez sur "Créer un hôte virtuel". Remplissez le formulaire en définissant bien le port à la valeur 443 (port HTTPS par défaut), le répertoire racine du document à l'identique de celui de votre site en HTTP, en donnant bien le bon nom de domaine dans le champ "Nom du serveur" et en indiquant bien que vous souhaitez copier les directives à partir de l'hôte virtuel qui correspond à votre site Web en HTTP.

Création de l'hôte virtuel sur Apache

Une fois l'hôte virtuel créé il faut envoyer sur le serveur les 3 fichiers permettant de mettre en œuvre le certificat SSL. Vous pouvez les transférer avec un logiciel FTP dans le dossier principal du site. Attention, les fichiers peuvent être placés dans n'importe quel répertoire mais ne les placez jamais dans un répertoire accessible en ligne (donc surtout pas dans le répertoire www). Il peuvent être envoyés directement dans /home/apn par exemple.

Revenez maintenant à la liste des hôtes virtuels et cliquez sur le lien "Serveur virtuel" de votre nouvel hôte puis choisissez la rubrique "Options SSL".

Cochez la case "Oui" pour l'activation du SSL puis définissez le chemin vers chacun des 3 fichiers. Attention, au niveau de l'entrée "Fichier de certificat / clé privée", il s'agit en réalité de la clé publique contenu dans le fichier www.allo-pere-noel.com_ssl_certificate.cer. Quant à elle, l'entrée "Certificate authorities file" correspond au certificat intermédiaire contenu dans le fichier allo-pere-noel.com_ssl_certificate_INTERMEDIATE.

Options SSL de l'hôte virtuel sur Apache

Une fois ces informations validées votre certificat SSL est installé sur votre hôte virtuel.

Souvent il est souhaitable d'avoir une redirection automatique d'une URL https://allo-pere-noel.com/ vers https://www.allo-pere-noel.com/ tout en conservant la page ciblée ainsi que les éventuelles paramètres GET. Pour mettre en œuvre ce comportement, rendez-vous dans la rubrique "Réseau et adresses" et indiquez dans le champ "Noms de substitution des serveurs virtuels" le nom de domaine de votre site sans le sous-domaine www.

Réseau et adresses de l'hôte virtuel sur Apache

Cliquez ensuite sur la rubrique "Édition des directives" puis copier/coller les lignes suivantes, en intégrant bien entendu, votre nom de domaine.

RewriteEngine on

RewriteCond %{HTTP_HOST} !=www.allo-pere-noel.com

RewriteRule ^(.*) https://www.allo-pere-noel.com$1 [QSA,L,R=301]

C'est terminé pour la configuration de notre hôte virtuel chargé de l'accès HTTPS. Nous allons finir par une modification permettant de réaliser la redirection automatique des liens HTTP vers le même lien en HTTPS. Cela permettra à votre site d'être 100% HTTPS.

Pour cela vous devez revenir à la liste des hôtes virtuels. Cliquez sur lien "Serveur virtuel" de votre site Web en HTTP (port 80). Rendez-vous dans la rubrique "Édition des directives" puis copier le code suivant à la fin du code existant.

RewriteEngine on

RewriteCond %{HTTPS} !=on

RewriteRule ^(.*) https://www.allo-pere-noel.com$1 [QSA,L,R=301]

C'est vraiment terminé maintenant... Pour appliquer les changements vous devez cliquer sur le lien "Appliquer les changements" en haut à droite.

Un petit test

Pour vous rendre compte que tout fonctionne bien vous pouvez tester les URL suivantes et constater que les redirections vers le site en HTTPS fonctionnent bien :

Ces 3 URL vous redirigent bien vers https://www.allo-pere-noel.com/blog.html

Commentaires

Posté par Nils, le 29/05/2017
Lorsqu'il y a un problème de permissions d'accès, généralement il faut faire le point avec le dossier qui contient les fichiers (/home/apn/www dans l'article) pour lui donner les bons droits ou pour associer les fichiers au bon utilisateur (généralement apache:apache). Voir pour cela en mode console avec chown ou chmod.

Pour votre deuxième problème, si en cherchant le fichier index.html il vous indique qu'il ne trouve pas index.fr.html c'est qu'il y a de la réécriture d'url qui se cache là-dessous que ce soit dans le fichier .htaccess ou alors directement dans le fichier httpd.conf.

Désolé mais je ne peux pas facilement vous apporter plus d'aide sans plus de précisions.
Posté par Pascal, le 26/05/2017
Bonjour,
encore merci !
En relisant vos explications et vos réponses je suis arrivé à installer le certificat.
Le test avec SSLLabs est bon !
Hélas lorsque je rentre une adresse (en remplaçant pere-noel par le bon domaine)
https://www.pere-noel.com
ou
https://pere-noel.com

J'ai bien le cadenas avec Sécurisé dans la barre d'adresse.
J'obtiens :
Forbidden
You don't have permission to access / on this server.

Si je rentre :
https://www.pere-noel.com/index.html (fichier présent)
ou
https://pere-noel.com
J'obtiens :
Not Found
The requested URL /index.fr.html was not found on this server.

J'utilise un fichier .htaccess mais le problème est le même sans lui

Merci de votre aide
Cordialement
Posté par Nils, le 25/05/2017
Bonjour, la procédure du site SSLLabs fait ressortir tous les certificats configurés sur le serveur. Vous devriez donc voir apparaitre deux certificats dont celui auto-signé déjà configuré sur votre serveur par défaut.

Est-ce que vous voyez bien Certificate #1 et Certificate #2 lors du test ?

Quel est le nom de domaine sur lequel vous faites la configuration ?

Est-ce que votre certificat est bien associé à ce nom de domaine ? Attention aux www par exemple. Chez 1&1 le certificat couvre bien la version avec et sans les www. Je ne sais pas si c'est le cas de votre certificat.
Posté par Pascal, le 23/05/2017
Bonjour.
Merci de votre réponse.
J'utilise la Release 3 d'OVH sur un VPS.

je crois avoir bien installé les certificats en suivant vos conseils et les indication de SSLMarket.
Mais...
Avec SSLLabs, j'obtiens toujours un :
"Certificate name mismatch"
et le nom proposé en dessous est celui du VPS qui est sous relaese 3.

Peut-être que c'est le certificat autosigné d'OVH (qui ne fonctionne pas d'ailleurs, qui pose problème...
Cordialement


Posté par Nils, le 16/05/2017
Bonjour, est-ce que vous réalisez l'installation sur un serveur OVH avec la distribution OVH Release 3 ?

Pour identifier les différents fichiers vous pouvez les ouvrir avec un éditeur de texte.

Le fichier qui correspond à la clé privée contient l'en-tête : -----BEGIN RSA PRIVATE KEY-----
Les deux autres fichiers contiennent l'en-tête : -----BEGIN CERTIFICATE-----

Si cela ne vous aide pas, merci d'indiquer le nom de vos différents fichiers.
Posté par Pascal, le 16/05/2017
Bonjour,
je n'arrive pas à installer un certicat RapidSSL.
Je dispose de 4 fichiers dont les nom ne correspondent pas dont in pem

Rédiger un commentaire

Votre adresse email
Votre adresse email ne sera pas visible
Votre pseudo
Votre pseudo sera visible.
Votre commentaire
Le HTML et le BBCODE sont désactivés.
Derniers articles
Configurer un certificat SSL sur OVH Release 3

Le protocole HTTPS est utilisé pour assurer le cryptage des échanges entre le navigateur et le serveur Web. Fondamental pour tous les échanges critiques (paiement en ligne...), il...

Lire la suite
Le Responsive Web Design
Le Responsive Web Design (site Web adaptatif) est un concept qui vise à permettre à un site Web de s'adapter à l'écran de l'appareil utilisé pour la navigation. L'objectif étant...
Lire la suite
Qu'est-ce que le content spinning ?
Pour de nombreuses raisons, plus ou moins louables, il est souvent nécessaire de générer des textes différents et uniques à partir d'un même texte de base. Le content spinning (ou...
Lire la suite
Quels navigateurs pour tester son site Web ?
Nombreux sont les développeurs Web débutants qui ont eu, un jour, la mauvaise surprise de voir leur site Web complétement déformé en utilisant un navigateur avec lequel ils n'avaient jamais...
Lire la suite
La table périodique du SEO
Le site américain Search Engine Land, spécialisé dans le référencement Web, a publié une infographie intéressante permettant de mettre en avant l'ensemble des facteurs qui contribuent à la réussite ou...
Lire la suite
Assistance  -  Outils  -  Ressources pédagogiques  -  Copyright © 2013-2018 sni Consulting Web  -  Mentions légales