Divers

PASSER SON SITE EN HTTPS

Écrit par David

Lundi 2 octobre 2017

Mis à jour le mercredi 5 septembre 2018

Passer son site en HTTPS

De nos jours, les sites qui n'ont pas de certificat SSL, c'est-à-dire ceux auxquels on accède encore en HTTP, n'inspirent plus confiance.
Ce tutoriel explique comment passer son site en HTTPS, particulièrement avec un serveur web Nginx, mais la manipulation est similaire sur Apache.

Générer une clé

Tout d'abord, sur votre serveur, il vous faut générer une clé :

openssl req -nodes -newkey rsa:2048 -sha256 -keyout monsite.fr.key -out monsite.fr.csr

Cette commande vous demandera plusieurs informations, vous pouvez les passer en appuyant sur Entrée sauf pour Common Name (e.g. server FQDN or YOUR name) où vous devrez renseigner le nom de domaine que vous souhaitez protéger en HTTPS et Email Address où il est conseillé de renseigner son adresse email, comme ceci :

david@101.52.56.84:~$ openssl req -nodes -newkey rsa:2048 -sha256 -keyout monsite.fr.key -out monsite.fr.csr
Generating a 2048 bit RSA private key
................+++
................+++
writing new private key to 'monsite.fr.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:monsite.fr
Email Address []:monadresse@hotmail.fr

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Cette commande génèrera deux fichiers : monsite.fr.key et monsite.fr.csr.
Ensuite, pour obtenir votre certificat SSL, vous devrez fournir le contenu du fichier monsite.fr.csr à votre organisme de certification. Pour obtenir le contenu de ce fichier, vous pouvez exécuter :

cat monsite.fr.csr

Ce qui vous donnera ceci :

Vous devrez fournir la totalité du contenu du fichier.

Prouver que le nom de domaine vous appartient

Ensuite, vous devrez prouver que le nom de domaine vous appartient. Pour cela, votre organisme de certification vous donnera en général trois possibilités :

Validation par Record DNS : votre organisme de certification vous donnera une ligne à ajouter à votre zone DNS.
Validation par email : votre organisme vous enverra un code sur une adresse email appartenant au domaine que vous souhaitez passer en HTTPS, soit quelquechose@monsite.fr dans notre exemple.
Validation par fichier : votre organisme vous fournira un fichier texte que vous devrez déposer sur votre serveur et rendre accessible par un lien spécifique.

Dans tous les cas, c'est votre organisme de certification qui vous donnera les instructions pour vérifier que vous êtes bien le propriétaire du nom de domaine que vous voulez passer en HTTPS.

Installer votre certificat HTTPS

Une fois que votre organisme de certification aura la preuve que vous êtes le propriétaire du nom de domaine, il vous fournira deux fichiers appelés le certificat avec pour extension .crt et l'intermédiaire avec pour extension .pem. Je vous conseille de les renommer de cette façon : monsite.fr.crt et monsite.fr.pem.
A ce stade, vous disposerez de quatre fichiers :

monsite.fr.csr : que vous avez fourni à votre autorité de certification.
monsite.fr.key : que vous gardez précieusement.
monsite.fr.crt : fourni par votre autorité de certification.
monsite.fr.pem : fourni par votre autorité de certification.

Il faudra créer un unique fichier avec les deux fournis par votre autorité de certification comme ceci :

cat monsite.fr.crt monsite.fr.pem > monsite.fr.certificate.crt

Reste à intégrer tout ça dans votre serveur web. J'explique les manipulations pour Nginx, mais elles sont similaires pour Apache.
Votre fichier /etc/nginx/conf.d/monsite.fr.conf doit maintenant comporter ces lignes en plus :

server {
        listen 443; # Important, vous devez maintenant écouter le port 443 qui est le port utilisé par le protocole HTTPS
        listen [::]:443;
        server_name www.monsite.fr monsite.fr;
        ssl on;
        ssl_certificate /etc/nginx/ssl/monsite.fr.certificate.crt;
        ssl_certificate_key /etc/nginx/ssl/monsite.fr.certificate.key;
        location / {
                # ... votre configuration
        }
}

Vous pouvez également rajouter un bloc server { } pour rediriger les requêtes HTTP en HTTPS :

server {
    listen 80;
    listen [::]:80;

    server_name www.monsite.fr monsite.fr;

    return 301 https://www.monsite.fr$request_uri;
}

N'oubliez pas de redémarrer Nginx pour que ces nouvelles configurations soient prises en compte :

nginx -t
sudo systemctl reload nginx

Si la commande nginx -t ne fonctionne pas :

david@david:/etc/nginx/conf.d$ nginx -t
-bash: nginx : commande introuvable

C'est que vous devez passer sudo pour l'exécuter :

david@david:/etc/nginx/conf.d$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Pareil pour la commande systemctl reload nginx :

david@david:/etc/nginx/conf.d$ systemctl reload nginx
Failed to reload nginx.service: Access denied

david@david:/etc/nginx/conf.d$ sudo systemctl reload nginx

Vérifier que tout fonctionne

Ouvrez votre navigateur, et allez sur https://www.monsite.fr, et si aucun message d'alerte de sécurité n'apparait, et que vous voyez bien un petit cadenas vert à côté du lien de votre site, c'est que tout fonctionne !

Sources

https://wiki.gandi.net/fr/ssl/csr
https://admin-serv.net/blog/670/creer-et-installer-un-certificat-ssl-sous-nginx/

Générer une clé
Prouver que le nom de domaine vous appartient
Installer votre certificat HTTPS
Vérifier que tout fonctionne