Pré-requis
Avoir passé une commande de certificat SSL
Accomplissement de la tâche: 15 minutes
Expertise: intermédiaire
Comment faire?
Générer le CSR
Premièrement, il faut générer le CSR et la clé pour votre nouveau certificat SSL.
Connectez-vous à votre serveur Ubuntu à l'aide d'un client SSH
Déplacez-vous dans le dossier /etc/ssl/ :
cd /etc/ssl/
Exécutez la commande OpenSSL suivante dans votre terminal. Cette commande générera à la fois une clé privée RSA de 2048 bits et le CSR. Remplacez votredomaine.key et votredomaine.csr par le nom de domaine réel que vous souhaitez sécuriser (exemple: funio.com.key, funio.com.csr).
openssl req -new -newkey rsa:2048 -nodes -keyout votredomaine.key -out votredomaine.csr
openssl req : La commande OpenSSL pour les demandes de certificat.
-new : crée une nouvelle demande de certificat.
-newkey rsa:2048 : génère une nouvelle clé privée RSA de 2 048 bits.
-nodes : garantit que la clé privée n'est pas chiffrée avec une phrase secrète (essentielle pour que Nginx démarre sans intervention manuelle).
-keyout votredomaine.key : Spécifie le fichier de sortie de votre clé privée.
-out votredomaine.csr : Spécifie le fichier de sortie de votre CSR.
Vous serez invité à saisir plusieurs détails. Fournissez des informations précises car elles seront incluses dans votre certificat SSL.
Country Name (C): code de pays à deux lettres (exemple: CA, US).
State or Province Name (S): nom complet de votre État ou province (exemple: Quebec).
Locality Name (L): nom complet de votre ville (exemple: Montreal).
Organization Name (O): le nom légal de votre organisation (exemple: Votre entreprise, Inc.).
Organizational Unit Name (OU): votre service au sein de l'organisation (exemple: IT, Ventes, Web). Ce champ peut rester vide.
Common Name (CN): le nom de domaine complet (FQDN) que vous sécurisez (exemple, www.funio.com, funio.com ou *.funio.com pour un certificat wildcard). C’est le champ le plus important.
Email Address: un champ facultatif pour un e-mail de contact.
A challenge password: laissez ce champ vide en appuyant sur Entrée.
An optional company name: laissez ce champ vide en appuyant sur Entrée.
Le fichier votredomaine.csr sera généré dans le répertoire où vous avez exécuté la commande. Vous devrez copier l'intégralité du contenu de ce fichier, y compris -----BEGIN CERTIFICATE REQUEST----- et -----END CERTIFICATE REQUEST-----, et le fournir lorsque vous allez configurer votre commande de certificat SSL dans votre Hub Funio.
Le fichier votredomaine.key est votre clé privée et doit être conservé en sécurité. Ne le partagez avec personne. Vous aurez besoin de cette clé plus tard lors de l'installation du certificat SSL sur Nginx.
Configurer votre certificat SSL
À présent vous devez aller compléter la commande de certificat SSL sur votre Hub Funio. Une fois que vous avez complété la configuration et procédé à l'approbation du certificat SSL vous recevrez une copie du certificat SSL par courriel en format PEM.
Connectez-vous à votre Hub Funio, cliquez sur le bouton Services et sélectionnez le produit certificat dans la liste (cliquez sur l'état).
Cliquez sur Configurer maintenant au bas de la page.
Sélectionnez Other (not listed) dans l'option Type de serveur Web.
Collez le CSR précédemment généré dans le champ correspondant, puis appuyez sur Click to continue.
Sélectionnez l'adresse email de validation qui sera utilisée pour valider que vous êtes le propriétaire du domaine, puis appuyez sur le bouton pour continuer. L'adresse courriel ne doit pas contenir www.
Attendez quelques minutes et vérifiez la boîte courriel et la boîte spam de l'adresse courriel sélectionnée. Vous devriez trouver un e-mail envoyé par Globalsign / AlphaSSL demandant une confirmation. Cliquez sur le lien et cliquez sur le bouton I accept.
Le certificat SSL sera généré et envoyé à l'adresse courriel au compte
Installer le certificat SSL
Maintenant, vous avez besoin du certificat SSL, du certificat intermédiaire et de la clé qui a été généré avec le CSR.
Connectez-vous à votre serveur Ubuntu à l'aide d'un client SSH
Déplacez-vous dans le dossier /etc/ssl/ :
cd /etc/ssl/
Utiliser vim ou nano pour créer le fichier de votre certificat SSL :
vi votredomaine.crt
Copier le code du certificat reçu par courriel, y compris -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- . Appuyer sur la touche Esc de votre clavier puis faites :wq pour sauvegarder la modification.
Faites la même procédure mais cette fois pour créer le fichier du certificat intermédiaire qui lui est disponible ici sous GlobalSign GCC R6 AlphaSSL CA 2025 en cliquant sur le bouton View in Base64.
vi intermediaire.crt
Vous devez lier les deux certificats (ou les "concaténer") en un seul fichier en entrant la commande ci-dessous :
cat votredomaine.crt intermediaire.crt >> votredomaine-bundle.crt
À présent, il faut modifier le fichier virtual host Nginx de votre domaine (/etc/nginx/sites-available/votredomaine.com). Copiez le module serveur existant (celui non sécurisé) et collez-le sous l'original avant d'ajouter les lignes suivantes :
listen 443;
ssl on;
ssl_certificate /etc/ssl/votredomaine-bundle.crt; ssl_certificate_key /etc/ssl/votredomaine.key;
Comme ceci:
server {
listen 443;
ssl on;
ssl_certificate /etc/ssl/votredomaine-bundle.crt; ssl_certificate_key /etc/ssl/votredomaine.key;
server_name votredomaine.com;
access_log /var/log/nginx/nginx.vhost.access.log;
error_log /var/log/nginx/nginx.vhost.error.log;
location / {
root /home/www/public_html/votredomaine.com/public/;
index index.html;
}
}
Redémarrer nginx :
systemctl restart nginx
Félicitations ! Vous avez installé votre certificat SSL !