Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Le SSL simplifié à destination des hébergeurs

Une mini-révolution est en marche sur le web après que Google ait annoncé une modification de son algorithme visant à favoriser les sites internet sécurisés via SSL (HTTPS).

Avec cet upgrade Google fait clairement savoir que la sécurité sur internet est, et reste, une de ses priorités et que cette dernière est au cœur de sa stratégie.

Les hébergeurs seront parmi les premiers impactés par cette mesure et devront être capables de proposer à leurs clients un package incluant le SSL à leurs offres d'hébergement notamment sur les serveurs mutualisés.

Le SEO étant au cœur des préoccupations des éditeurs de site web, ces derniers auront tendances à se tourner vers un hébergeur proposant des solutions SSL simples.

TBS CERTIFICATS propose désormais aux hébergeurs le certificat SSL TBS X509 Multiple Site en version Hosting 40 et 100 SANs spécialement étudié pour les hébergeurs. Une procédure simplifiée a spécialement été mise en place pour que ces derniers puissent proposer des sites sécurisés à leurs clients et ce, avec un minimum d'efforts !

Nota : Le TBS X509 Multiple Site version Hosting 40 ou 100 SANs est installable sur 2 machines.

Obtenir la liste des FQDNs à certifier

Dans un premier temps, il vous faut évaluer le nombre de sites à sécuriser. Pour obtenir la liste complète des FQDNs actifs et certifiables d'un serveur, entrez la ligne de commande suivante (pour un serveur Linux, Apache, Debian / Ubuntu) :

egrep -hi '^[ \t]*server(name|alias)' /etc/apache2/sites-enabled/* |tr " \t" "\n" |sort -f |egrep -vi '(ServerAlias|ServerName)' |egrep -v '^.+[\?\*]' |grep -v '^$' | uniq | sort

Filtrer les FQDNs

Après avoir obtenu la liste des sites de votre serveur, vous pouvez les filtrer et vous assurez que les FQDNs pointent bien sur l'IP du serveur avec la ligne de commande suivante :

for item in $(cat liste-des-sites ); do echo -n "$item " ; dig +short $item A | tail -1 ; echo ; done |grep IP-DU-SRV

Le nom principal de votre certificat (CN) devra être choisi parmi les résultats et doit appartenir au propriétaire du certificat : l'hébergeur. Le domaine principal sera audité et les documents (si besoin) ne seront demandé qu'au propriétaire de ce dernier. Ainsi, nous ne demanderons de documentation (si nécessaire) qu'à l'hébergeur. Les autres domaines étant validés grâce au challenge DCV.

Les autres FQDNs à sécuriser seront indiqués directement sur le formulaire de commande dans le champ "Noms alternatifs".

Dépôt de la commande de certificat

Le TBS X509 Multiple Site version Hosting n'est disponible que sur les comptes clients TBS-Certificats. Pour obtenir ce type de produit il faut soit :

Une fois fait, suivez la procédure décrite ici.

Validation des challenges DCV

Après finalisation de l'audit et avant la livraison du certificat il faut valider les challenges DCV. Dans le cas de certificats multiple sites, un challenge DCV doit être validé pour chaque FQDN à sécuriser. Cependant et afin de simplifier au maximum les procédures il est recommandé de sélectionner le challenge DCV HTTP.

Comment valider tous les challenges en une seule manipulation ?

Téléchargez le fichier texte (fourni à la commande) et placez-le dans /var/www/html/ :

scp 746249D5A7D846640E7AC178EBEE3DA8.txt root@xxxxxxx:/var/www/html/

Créez un fichier de conf Apache pour rendre ce fichier disponible sur tous les sites du serveur :

echo "Alias /.well-known/pki-validation/746249D5A7D846640E7AC178EBEE3DA8.txt /var/www/html/746249D5A7D846640E7AC178EBEE3DA8.txt" >> /etc/apache2/conf.d/dcv.conf

Rechargez l'Apache :

service apache2 reload

C'est fini ! Le robot peut désomais passer et voir tous les fichiers sur ce serveur.

Ajout, modification et suppression de la liste des FQDNs à sécuriser

Il se peux que pendant la durée de vie de votre certificat SSL vous ayez besoin d'ajouter, de modifier ou de supprimer des FQDNs à votre certificat. Pour cela il faudra en demander la refabrication (procédure gratuite) via la page statut de votre certificat. Dans le cas ou vous utilisez un serveur autorisant la resignature (tel Apache), un nouveau CSR ne sera pas nécessaire. Il suffira simplement de modifier la liste des FQDNs dans le champ prévu à cet effet.

Concernant le challenge DCV, il vous faudra télécharger et placer un nouveau fichier sur votre serveur. En effet, le challenge DCV doit être unique pour chaque certificat.

Que faire en cas de modification du CSR ?

Lors d'une refabrication ou d'un renouvellement, il vous faudra placer un nouveau fichier .txt, généré pour la validation DCV, sur votre serveur.

Il faudra alors placer le nouveau fichier dans /var/www/html/ et mettre à jour le fichier de conf Apache (procédure décrite ci-dessus).

Liens utiles