SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Installer un certificat pour Nginx

Génération de clé privée et de CSR

Vous pouvez suivre notre documentation de génération de clé privée et de CSR pour Openssl.

Installation de certificat

L'installation est pratiquement similaire à Apache 2.4.8+ (Installer un certificat Apache), mais les instructions changent.

  1. Téléchargez votre certificat et la chaine de certification associée au format PEM :
    Accédez à la page statut de votre certificat chez TBS CERTIFICATS (cf Espace client ou mél de livraison), puis cliquez sur le bouton "Voir le certificat".
    Sélectionnez "Voir le certificat au format X509 avec chaine" pour télécharger le fichier pem-XXXXXXXXXX-XXXXXXX.pem

  2. Configurez votre nginx avec : 
    server {
    listen               443;
    server_name          www.exemple.fr;
    ssl                  on;
    ssl_certificate      \chemin\vers\pem-XXXXXXXXXX-XXXXXXX.pem;
    ssl_certificate_key  \chemin\vers\votre_clé_privée.key;
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers  ECDH+AESGCM:ECDH+AES256-CBC:ECDH+AES128-CBC:DH+3DES:!ADH:!AECDH:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1; #courbe ECDH

    ...
}
N.B.:
Si vous rencontrez sur Google Chrome ce type de message, "Ce site utilise une configuration de sécurité faible (signatures SHA-1). Il est donc possible que votre connexion ne soit pas privée." , vérifiez votre configuration ssl_ciphers ou ssl_protocols.

Si vous rencontrez des problèmes de compatibilité avec votre navigateur, vous pouvez tenter d'utiliser cette valeur de ssl_ciphers : ssl_ciphers !EDH:!RC4:!ADH:!DSS:HIGH:+AES128:+AES256-SHA256:+AES128-SHA256:+SHA:+3DES!NULL:!aNULL:!eNULL;

Recommandations de sécurité

  • Nous vous recommandons de générer des groupes dh forts et uniques à votre machine afin d'accroitre sa sécurité. Pour cela, lancez la ligne de commande suivante et placez son résultat dans un dossier accessible par le serveur web : 
    openssl dhparam -out dhparams.pem 2048

    Ajoutez ensuite la ligne suivante à votre configuration: 
    ssl_dhparam /chemin/vers/votre/dhparams.pem;
  • Nous vous recommandons de choisir une courbe elliptique forte pour l'échange de clé ECDH en ajoutant la ligne suivante: 
    ssl_ecdh_curve secp384r1;
  • Activez l'OCSP Stappling sur nginx pour améliorer les temps d'accès à votre site tout améliorant sa sécurité.
  • Activez le support HSTS pour protéger vos utilisateurs des attaques de type Man in the Middle.
Nous vous recommandons aussi de sécuriser vos frames et la sniffing MIME avec ces headers : 
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Remarques

  • Si vous souhaitez permettre la reprise de session, il convient de configurer une durée de session et un timeout au niveau du serveur. Pour cela, ajoutez ces lignes à votre configuration globale : 
    ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

Liens utiles