Renouveller ses certificats SSL sur StartSSL

Page 1 / 1

Ayant demandé des certificats sur StartSSL il y a plus d'un an, ceux-ci ont expiré au début de cette année.
Nous avons donc dû les renouveler via la nouvelle version du site.

Pour ceux qui ne connaitraient pas StartSSL, il s'agit d'une autorité de certification reconnue par la plupart des systèmes d'exploitation (Windows, Linux, ...) et qui vous permet d'obtenir des certificats SSL gratuitement.
Plus d'infos dans notre article précédent : Sécuriser gratuitement votre site web grâce à StartSSL

L'autorité de certification StartSSL qui était gérée par la société StartCom a fermé ses portes le 1 janvier 2018.

  1. Notifications d'expiration
  2. Renouveler le certificat client
  3. Renouveler le certificat pour votre serveur web

1. Notifications d'expiration

Lorsque votre ou vos certificats SSL (client et web) vont bientôt expirer, vous recevrez un e-mail de StartSSL qui vous avertira qu'il reste 2 semaines avant leurs expirations.

2. Renouveler le certificat client

Connectez-vous sur StartSSL grâce au certificat client téléchargé il y a un an (lors de votre inscription sur le site).

Si le certificat SSL client fourni par StartSSL est toujours dans le magasin de certificats de votre navigateur web (ou de votre ordinateur pour IE), cette fenêtre s'affichera.
Cliquez sur OK pour vous connecter au site.

Vous arriverez dans votre compte StartSSL.

Allez dans l'onglet "Tool Box" où vous verrez la liste de vos certificats.
Comme vous le savez surement, il y a 2 types de certificats :

  • le certificat client (Class 1 Client) : qui permet de vous connecter à votre compte StartSSL
  • les certificats web (Class 1 SSL) : qui vous permettent de sécuriser la connexion à votre site web, votre serveur d'e-mails, ... grâce à SSL

Pour commencer, nous allons renouveler notre certificat client. Car sans ce certificat, vous n'auriez plus accès à votre compte StartSSL et vous seriez obligé de vous réinscrire (et donc attendre que les inscriptions soient rouvertes car c'est par période).
Bref, à droite de votre certificat client, cliquez sur la petite flèche du bouton bleu et cliquez sur Renew.

Sélectionnez "Client S/MIME and Authentication Certificate".

Etant donné que cela fait plus d'un mois que nous avons validé notre adresse e-mail, cette validation par e-mail n'est plus valable.
Néanmoins, il suffit de cliquer sur le lien "Email Validation" pour la valider à nouveau.

Indiquez votre adresse e-mail et cliquez sur le lien "Click to send validation code".
Note : le code envoyé par e-mail n'est valable que pendant 15 minutes.

Vous recevrez un code de vérification à l'adresse e-mail indiquée précédemment.

Indiquez le code et cliquez sur "Validation".

Votre adresse e-mail a été validée.
Cette validation est valable pendant 30 jours.

Cliquez sur le bouton : To "Order Client Certificate".

Indiquez l'adresse e-mail que vous venez de valider, dans la case.
Puis, sélectionnez "Generated by System ..." et indiquez un mot de passe pour protéger la clé privée de votre certificat client.
Ensuite, cliquez sur "submit".

StartSSL vous affiche la clé privée au format PEM.
Cliquez sur "Download Private Key" et gardez ce fichier en lieu sûr.

Si vous avez téléchargé votre clé privée, cliquez sur OK.

Votre certificat client a été émis (créé).
Cliquez sur le lien "here" pour télécharger votre certificat.
Ensuite, cliquez sur le bouton : Certificate List.

Maintenant, vous avez un nouveau certificat "Class 1 Client" dans la liste qui expire dans 1 an.

Pour pouvoir vous connecter à votre compte StartSSL avec ce nouveau certificat client, il vous faut un fichier au format PFX.
Pour cela, cliquez sur la petite flèche du bouton bleu et cliquez sur "Create PFX".

Note : vous pourriez aussi passer par l'option "Create PKCS#12 (PFX) File" du menu de gauche, mais en passant par le bouton bleu, vous aurez des cases déjà remplies.

Collez votre clé privée ainsi que le contenu du fichier certificat dans les cases prévues à cet effet, puis indiquez un mot de passe pour protéger ce fichier PFX.

Cliquez sur le bouton "Download" pour télécharger le fichier PFX.

Note : le format des fichiers p12 et pfx est identique.

Il ne vous reste plus qu'à importer le nouveau certificat dans votre navigateur.
Pour cela, dans Mozilla Firefox, allez dans l'icône menu -> Options -> Avancé -> Certificats -> Afficher les certificats -> Onglet : vos certificats.

Ensuite, quand vous tenterez de vous reconnecter sur le site de StartSSL, la fenêtre "Requête d'identification d'utilisateur" s'affichera.
Comme vous pouvez le voir, le nouveau certificat expirera en Mars 2017, alors que l'ancien expirait en Mars 2016.

Vous avez de nouveau accès à votre compte, mais avec le nouveau certificat.

3. Renouveler le certificat pour votre serveur web

Pour cela, allez dans la Tool Box et repérez le certificat SSL à renouveler (pas le Client, mais l'autre).
A côté, vous trouverez un bouton avec un petit triangle, cliquez dessus et cliquez sur Renew.

Choisissez "Web Server SSL/TLS Certificate".

Si la validation du domaine doit être effectuée à nouveau, cliquez sur le lien "Domain Validation" affiché dans le message.

Indiquer le nom de domaine racine (sans les www.).

StartSSL va consulter le whois de votre domaine et il vous demandera de choisir l'adresse e-mail à laquelle vous souhaitez recevoir le code de vérification.
Note : il s'agit des adresses e-mail du propriétaire et des différents contacts du domaine.

Ensuite, cliquez sur "Send Verification Code".

Vous allez recevoir un code par e-mail.

Qu'il suffit de coller dans la case. Puis, cliquez sur Validation.

Maintenant, votre la validation du domaine a été effectuée et sera valable pendant 30 jours (comme indiqué par StartSSL).
Cliquez sur "To Order SSL Certificate" pour continuer le renouvellement de votre certificat SSL.

Indiquer le nom de domaine complet (avec le sous-domaine www si votre site est accessible depuis ce sous-domaine) dans la case.
Puis, sélectionnez si vous souhaitez générer votre certificat SSL depuis :
- une demande de signature de certificat au format PEM
- ou si vous souhaitez que StartSSL génère la demande de certificat automatiquement.

Pour finir, indiquer un mot de passe pour protéger la clé privée.

StartSSL vous affiche la clé privée au format PEM que vous pourrez utiliser avec votre futur certificat SSL.
Cliquez sur "Download Private Key" ou coller l'entièreté du texte (avec les les lignes BEGIN ... et END) dans un fichier en .key

Ensuite, cliquez sur "Submit".

Maintenant, StartSSL a émis (créé et signé) votre nouveau certificat SSL.
Cliquer sur le lien "here" pour télécharger votre certificat, ainsi que les certificats intermédiaires et racines dont vous aurez besoin pour configurer le https sur votre serveur web Apache, par exemple.

Depuis la nouvelle version de leur site, StartSSL vous propose les certificats pour différents serveurs web connus.

Voilà, notre nouveau certificat SSL pour notre serveur web est valable jusqu'en Mars 2017.