Aller au contenu

Comment renouveler son certificat Class1 chez StartSSL


Mic13710

Messages recommandés

Edit : Ce tuto est devenu obsolète depuis que StartSSL n'est plus accepté par les principaux navigateurs (Safari, Chrome, Firefox depuis la version 51. Probablement IE dans quelques temps). Si ce n'est déjà fait, je vous conseille de supprimer vos certificats StartSSL et d'installer un certificat Let's Encrypt disponible sur nos NAS en quelques clics à partir de DSM 6.0

Après avoir galéré toute la journée d'hier et ce matin encore pour renouveler mon certificat StartSSL sur le nouveau site de StartCOM, j'y suis enfin arrivé et je pense qu'il est préférable de faire un petit tuto pour faire profiter de ma petite expérience tous ceux qui utilisent ce certificat et qui risquent de se trouver perdus face à un océan d’incompréhension.

Depuis mon dernier renouvellement, les choses ont bien changé et tous les tutos qu'on utilisait jusqu'à présent sont obsolètes.

 

Trois innovations majeures :

  • ce n'est plus StartCom qui fourni la clé mais l'utilisateur,
  • le certificat est obtenu instantanément,
  • il est valable pour 3 ans au lieu d'un. Ça c'est plutôt cool.

 

Changement de type certificat :

Jusqu'à présent, tous les tutos nous faisaient créer un certificat pour un sous-domaine (souvent en www.mondomaine ou nas.mondomaine, etc..). Il pouvait être utilisé aussi pour le domaine puisque le même certificat validait le sous domaine et son domaine.

Ce n'est plus possible maintenant. En effet, j'avais commencé par recréer un certificat pour mon sous domaine www.mondomaine.fr. Il a bien été enregistré par le NAS mais impossible ensuite de l'utiliser directement avec mondomaine.fr. Bien évidemment, il ne fonctionnait pas non plus avec les adresses de mondomaine sur le serveur de messagerie du NAS.

 

Comment procéder :

Il faut tout d'abord revalider le domaine. Pour cela, on se connecte au site https://startssl.com/Certificates

Si le certificat est inclus dans votre navigateur, vous pourrez vous connecter directement en cliquant sur "Client Certificate Login". Sinon, il faudra passer par le "Lost authentication certificate ?" et là je ne sais pas ce qui se passe. Sans doute un code de validation mais je n'en sais rien.

Attention : pour une raison que j'ignore la connexion avec Firefox n'a pas pu se faire, le navigateur étant complètement bloqué à chaque tentative. Arrêt seulement possible à partir du gestionnaire des tâches. Finalement, j'ai dû passer par Internet Explorer.

Une fois sur votre compte, vous cliquez sur Certificate list. Le status du certificat actif est noté "Will expire" et dans la colonne action il y a un bouton "Retrieve". Cliquer sur la flèche à droite pour dérouler le menu et choisir "Renew".

Dans la nouvelle page qui s'ouvre, vous devrez choisir l'adresse mail (hostmaster@mondomaine ou webmaster@mondomaine ou postmaster@mondomaine) sur lequel StartCOM doit envoyer le code de vérification. Mais avant de cliquer, contrôlez d'abord les 2 points suivants :

  • Je rappelle que pour recevoir le mail sur le serveur de messagerie du NAS, il faut préalablement avoir programmé un alias (webmaster ou hostmaster) qui redirige les mails vers une adresse valide de votre messagerie. A noter que l'alias postmaster n'est pas autorisé par le serveur du NAS.
  • Attention : si comme moi vous utilisez le serveur de messagerie pour héberger les mails de votre domaine sur le NAS et que votre parefeu bloque les emails provenant de certaines régions, il va falloir temporairement inhiber le blocage pour permettre au NAS de recevoir l'email de StartCOM car actuellement leur serveur se situe en Chine. Rien que ce petit détail m'a fait perdre un temps précieux, tous les emails étant systématiquement bloqués. D'après le support il est prévu qu'en 2017, leur serveur soit relocalisé en Europe.

Une fois que vous avez validé votre domaine avec le code reçu, vous avez 30 jours pour créer vos certificats. On ne va pas attendre jusque là :biggrin:.

Passons maintenant à l'étape du certificat.

On va tout d'abord créer un certificat sur le NAS. Menu Sécurité, onglet Certificat. Cliquer sur le bouton "Créer un certificat".

Deux choix possibles :

Soit le certificat existant est déjà sur votre domaine ou du moins sur le sous domaine que vous utilisez pour vous connecter au NAS et que vous avez une longueur de clé qui vous convient (2048 au minimum ou 4096), auquel cas vous choisissez "Renouveler le certificat",

Soit vous avez un certificat sur un sous domaine alors que vous utilisez le nom de domaine pour vous connecter au NAS (pour moi c'était www.mondomaine) et/ou vous souhaitez renforcer la longueur de votre clé en 4096, ou bien encore vous utilisez le serveur de messagerie du NAS pour les mails sur votre domaine (dans ce cas il faut un certificat sur le nom de domaine exclusivement), auquel cas vous choisissez "Créer une demande de signature de certificat (CSR)". Pour ce dernier choix, vous aurez à remplir un formulaire dans lequel vous indiquez la longueur de la clé privée (à y être, autant choisir 4096), le nom de votre domaine, l'adresse email avec laquelle vous êtes enregistré chez StartCOM, le Pays, la Province, la Société (vous mettez ce que vous voulez), le Service (itou).

Vous cliquez sur suivant. Le NAS va créer une demande "archive.zip" que vous téléchargez et que vous décompressez. Vous aurez deux fichiers : server.csr et server.key.

Vous ouvrez le fichier server.csr avec le bloc notes et vous copiez tout son contenu dans le presse papier.

Vous revenez sur le site StartCOM et vous allez sur l'onglet "Certificate Wizard", puis vous cliquez sur "DV SSL Certificate".

Dans la nouvelle page qui s'ouvre vous devriez trouver le nom de votre domaine noté en vert comme étant validé.

Dans le cadre en dessous, vous entrez le nom de domaine que vous utilisez pour vous connecter au NAS (ce peut être soit le domaine, mon choix, soit un sous-domaine), en dessous vous choisissez "Generate by myself", dans le cadre vous collez le contenu du presse papier (server.csr) et vous cliquez sur Submit. StartCOM va créer le certificat correspondant dans un fichier compressé que vous téléchargez.

Vous ouvrez le fichier dans lequel vous trouverez 4 dossiers. Celui qui nous intéresse s'appelle OtherServer.zip. Vous le décompressez pour avoir trois fichiers .crt.

Nous avons maintenant tout en main pour installer le certificat sur le NAS.

De retour sur la page du certificat du NAS, vous cliquez sur "Importer le certificat" et vous importez les fichiers suivants :

Clé privée : server.key qui se trouve dans le fichier archive.zip (celui créé par le NAS)
Certificat : 2_mondomaine.crt du dossier OtherServer.zip (qui sera renommé en server.crt lors de l'exportation du certificat)
Certificat intermédiaire : 1_intermediate.crt du dossier OtherServer.zip (qui sera renommé server-ca.crt lors de l'exportation du certificat)

Valider.

S'il n'y a pas d'erreur, le certificat devrait s'installer sur le NAS. Il est valable 3 ans.

Testez vos accès pour vérifier qu'il fonctionne correctement.

Dernier point, il faut aussi réinitialiser le certificat dans votre navigateur pour pouvoir vous connecter directement sur votre compte StartCOM. Pour cela, vous allez sur l'adresse https://startssl.com/reissuenewcertificate et vous indiquez l'adresse email de votre compte StartCOM. Un code vous sera envoyé qu'il suffira de copier coller pour validation. Le certificat sera installé automatiquement.

Il y a peut-être quelques erreurs (je ne peux pas reproduire certains points qui ne sont plus accessibles après validation) aussi n'hésitez pas à me faire part de vos remarques pour que je corrige.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.