1. Démarrage de la commande :
- Accédez à l’onglet « Certificats SSL ».
- Cliquez sur « ⊕ Nouveau certificat SSL ».
- Les certificats SSL peuvent être filtrés et affichés par « Marque » (AC) ou par type de « Validation ».
- Choisissez le SSL dont vous avez besoin et cliquez sur « Mettre dans le panier ».
Note : Pour des conseils sur la sélection du certificat et du type de validation SSL approprié, consultez la fin de cet article, ou contactez notre service commercial. Si vous n’êtes pas encore client, vous pouvez utiliser notre formulaire de contact.
2. Fourniture des données nécessaires :
a) Données additionnelles requises :
Cliquez sur le lien « 
Données supplémentaires requises » dans la colonne « Demande Complète ? ».
b) CSR (Certificate Signing Request) :
Saisissez la CSR dans l’espace prévu à cet effet puis cliquez sur « Lire la CSR » pour vérifier les détails.
Important : Les underscores (tirets bas) ne sont pas acceptés dans le nom commun (Common Name) (plus d'informations ici LDH & RFC 3492). Si c'est une exigence incontournable, il pourrait être possible (sous toute réserve) d'indiquer explicitement le CN comme SAN également, mais il n'est pas recommandé d'utiliser des noms non-LDH ici et c'est sans garantie que cela fonctionne et que le certificat puisse être émis par l'autorité.
c) Email de validation :
L'adresse email de l'approbateur doit correspondre à l'enregistrement WHOIS du domaine pour la création du certificat. Lors de l’évaluation d’une CSR, les adresses email potentielles apparaissent dans le champ "Email de validation" et sont proposées automatiquement. Si notre système peut récupérer automatiquement une adresse email depuis le WHOIS du domaine, il affichera aussi l’email Admin du WHOIS.
Pour plus de commodité, les adresses email standards et prédéfinies suivantes peuvent être utilisées et sont à privilégier :
- admin@...
- administrator@...
- hostmaster@...
- webmaster@...
- postmaster@...
La partie domaine (après le @) doit correspondre au domaine du certificat (2e niveau), y compris pour les sous-domaines (exemple : @domaine.com pour sous.domaine.com).
N’utilisez une adresse personnalisée que si vous êtes certain qu’elle est effectivement répertoriée au WHOIS.
d) Méthodes d’authentification :
Vous pouvez sélectionner n’importe quelle option parmi les choix suivants, mais nous recommandons d’utiliser la validation DNS. Si le domaine lié à votre commande SSL est actuellement géré par nos soins et utilise le DNS BrandShelter, nous créerons automatiquement les enregistrements hôtes appropriés pour accélérer le processus.
- Email : Un lien d’approbation est envoyé à l’email de l’approbateur (actuellement déprécié par la plupart des autorités de certification)
- DNS (enregistrement TXT) - à privilégier : des enregistrements ressources TXT spécifiques sont nécessaires pour chaque hôte. Ces enregistrements seront ajoutés automatiquement si la zone DNS est gérée par nos services (sur nos serveurs DNS primaires obligatoirement ; si nos serveurs sont secondaires, la validation n'est pas possible).
- Fichier sur le serveur web : un fichier spécifique avec un certain contenu doit être hébergé sous un chemin particulier sur les serveurs web.
NB : Les méthodes d’authentification peuvent varier selon le certificat et/ou l’autorité de certification.
e) Informations de contact
- Contact titulaire : pour trouver un contact « Titulaire » éligible pour un certificat SSL, saisissez toute donnée associée au contact souhaité pour le localiser (voir cette page d’aide pour la création de contact)
Important :
Un contact éligible pour un certificat SSL est un contact qui contient tous les champs obligatoires y compris les deux champs additionnels ci-dessous :
- Titre --> M. / Mme
- État / Province --> veuillez ne pas sélectionner « Autre », le champ doit être renseigné avec la bonne information
Si un contact existant ne contient pas de données pour ces deux champs, il ne sera pas disponible dans la liste de sélection des contacts.
Veuillez également noter que certains caractères spéciaux, tels que ö et ß, peuvent poser problème. Il est recommandé de les remplacer par leurs équivalents « non spéciaux » (par exemple, ö → o, ß → ss) afin d’assurer un traitement correct.
Ce contact est obligatoire pour tous les types de commande de certificat.
-
Contact organisation et Personne contact organisation : ces deux types de contacts sont uniquement requis pour les certificats de type OV / EV.
- Le « Contact de l'organisation » (typologie O-handle) ne doit pas indiquer de prénom ni nom ; laissez les champs vides (cela vous permettra d’avoir une typologie « O-handle », généralement préférée mais non obligatoire ; la typologie « P-handle » peut aussi convenir). Il doit impérativement indiquer une Organisation ainsi qu’une adresse postale valide et un numéro de téléphone fixe vérifiable sur une base d’annuaire officiel (Pages Jaunes, Kompass, etc.).
- Le « Personne de contact de l'organisation » (typologie P-handle) doit indiquer la même organisation que celle listée dans votre « Contact de l'organisation », ainsi que le nom et prénom d’une personne physique travaillant au sein de celle-ci, avec son titre et rôle.
Note importante :
- Les noms génériques tels que « Gestionnaire de domaine » ne sont pas autorisés comme personne contact
- Le numéro de téléphone indiqué doit être une ligne directe, fixe ou mobile.
-- Important --
- Caractères acceptés : tous les contacts associés aux certificats SSL ne doivent pas contenir d’accents, de trémas ou de caractères spéciaux.
- Titre : il doit être sélectionné lorsqu’il s’agit d’une personne physique.
- État : il doit être défini avec un État ou une Région approuvé(e) (l’option « Autre » n’est pas acceptée)
f) Autres champs :
Les autres champs sont optionnels et internes au portail, pour votre propre gestion.
3. Enregistrez vos modifications :
Enfin, cliquez sur « Mettre à jour la commande de certificat SSL » pour valider le formulaire.
4. Complétez la commande :
- Sélectionnez le certificat en le cochant
- Cliquez sur « Passer la commande ».
- C’est terminé !
5. Vérification de votre demande, validation et livraison de votre certificat :
Votre commande est maintenant enregistrée, et votre demande de certificat est en cours auprès de l’autorité de certification sélectionnée.
Vous recevrez des instructions directement des autorités de certification, et votre certificat vous sera envoyé par e-mail à l’adresse fournie dans votre compte client et/ou vous pourrez récupérer votre certificat directement depuis le Portail BrandShelter, dans l’onglet « Certificats SSL ».
- Votre certificat sera délivré au format CRT.
- Les certificats intermédiaires sont envoyés en même temps que le certificat lui-même.
- Les fichiers de certificat téléchargés auront l’extension de nom de fichier « .txt », mais vous pouvez renommer le fichier et/ou changer son extension en .CRT, PEM ou .CER par exemple, sans affecter sa fonctionnalité.
Important : nous nommons les fichiers de certificat joints dans l’email de livraison certificate-crt.txt et intermediate-pem.txt afin de garantir qu’ils soient correctement reçus, et pour éviter qu’ils soient détectés comme des fichiers potentiellement malveillants et bloqués. Ainsi, nous n’utilisons plus .pem ou .crt comme extensions de fichier car de nombreux logiciels antivirus et anti-malware suppriment les pièces jointes avec ces extensions. Cependant, nous définissons correctement le type MIME, respectivement, en application/x-x509-ca-cert et application/x-pem-file.
Le format PEM, en particulier, est également utilisé pour stocker les clés privées et les demandes de signature de certificat (CSR) :
- Une clé privée au format PEM aura l’extension .key avec un en-tête et un pied de page, comme suit :
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
- Une CSR au format PEM aura l’extension .csr avec un en-tête et un pied de page, comme suit :
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
Les certificats racine (ROOT) font partie intégrante de chaque navigateur web et système d’exploitation, et peuvent être téléchargés publiquement. Les certificats racine ne font donc pas partie de notre livraison.
- Sous Windows, le Gestionnaire de certificats gère les certificats racine de confiance.
- Sous Mac, les certificats racine se trouvent dans Trousseau d’accès.
- Sous Linux, ils se trouvent sous /etc/ssl.
Les autorités de certification mettent à disposition leurs certificats racine et intermédiaires en téléchargement sur leurs sites web.
6. Plus d’informations sur les certificats SSL et des outils utiles
Il existe trois types de validation :
- Validation de domaine (DV) vérifie que le demandeur a les droits administratifs sur le domaine listé dans le certificat (correspond à un certificat standard).
- Validation d’organisation (OV) inclut l’authentification de l’identité de l’entreprise, la vérification du nom de domaine, et la vérification que le contact de l’organisation qui demande le certificat au nom de l’entreprise ou de l’organisation est un employé de celle-ci.
- Validation étendue (EV) est le niveau d’authentification le plus élevé et nécessite une reconnaissance ou un accord signé par l’entreprise.
Comprendre les certificats SSL
Les certificats SSL servent de bouclier protecteur pour les transferts de données en ligne, mais tous les certificats ne se valent pas. Explorons les différences entre le certificat SSL standard couramment utilisé et le certificat de validation étendue plus rigoureux.
Différence entre certificat SSL standard et certificat de validation étendue
-
Niveaux de validation : Bien que les deux types de certificats SSL offrent un chiffrement conforme aux standards de l’industrie, leur niveau de validation diffère. Typiquement, lorsqu’on parle de « SSL standard », on fait référence à un certificat SSL validé par domaine unique (DV). Ces certificats sont rapidement enregistrés et abordables, mais peuvent ne pas fournir le niveau de confiance souhaité pour des tâches orientées business. En revanche, un certificat de validation étendue (EV) implique un processus de validation méticuleux où l’autorité émettrice vérifie plusieurs aspects de votre entreprise, assurant un niveau de confiance supérieur.
-
Différence de prix : Vous vous demandez peut-être pourquoi les certificats EV ont un prix plus élevé comparé aux certificats SSL standard. La réponse réside dans le processus de validation détaillé. L’effort et les ressources supplémentaires déployés par l’autorité de certification pour vérifier et émettre un certificat EV se traduisent naturellement par un coût plus élevé.
Considérations pour les certificats de validation étendue
Avant d’opter pour un certificat EV, considérez les points suivants :
- Urgence : Besoin d’un certificat rapidement ou à moindre coût ? Un SSL standard pourrait être votre choix.
- Facteur de confiance : Si instaurer une confiance maximale chez vos visiteurs est primordial, et que vous souhaitez montrer un engagement sérieux envers la sécurité, un certificat EV devrait être votre choix.
- Nature de votre site : Les sites traitant du commerce électronique, de la finance, de la santé ou de toute donnée sensible devraient idéalement s’orienter vers les certificats EV pour une crédibilité et une sécurité renforcées.
Durée de vie d'un certificat :
Plus d'informations : Réduction de la durée de vie des certificats SSL/TLS – certificats de 47 jours d’ici 2029
7. Plus de support et bonnes pratiques
→ Qu’est-ce qu’un certificat SSL ?
→ Pourquoi ai-je besoin d’un certificat SSL ?
→ Meilleures pratiques de gestion des certificats SSL
Outils de génération & décodeur CSR :
- Générateur CSR par SSL Dragon
- Générateur CSR - Open Source (licence MIT)
- Outil pour développeurs - Générateur CSR
- Décodeur CSR et Certificat
Conversion en .PFX
Parfois, vous pouvez vouloir disposer d’un paquet auto-installable du certificat (.PFX), pour cela vous devez posséder la clé privée, sinon ce ne sera pas possible.
Voici comment procéder :
- Installez OpenSSL (https://slproweb.com/products/Win32OpenSSL.html, disponible aussi pour MacOS, https://www.slingacademy.com/article/how-to-install-upgrade-openssl-with-homebrew/)
- Récupérez votre fichier .pem contenant le certificat (.crt) et la chaîne intermédiaire. Notez que vous devrez peut-être créer ce fichier vous-même au format .pem ; pour cela, vous devrez :
- ouvrir le fichier .crt (1) avec un éditeur de texte (Notepad par exemple)
- ouvrir le fichier contenant la chaîne intermédiaire (2) avec le même éditeur de texte
- ouvrir un document vierge (3) avec le même éditeur de texte
- coller dans (3) le contenu de (1) puis celui de (2) (l’un après l’autre, avec un simple saut de ligne)
- enregistrer le document (3) en le nommant par exemple « votrecertificat.pem »
- Placez les fichiers dans le dossier utilisateur de votre ordinateur (exemple : C:\Users\JohnDoe) :
- Le certificat au format .pem créé précédemment (« votrecertificat.pem »)
- et la clé privée.
- Préparez dans votre éditeur de texte (Notepad par exemple) un mot de passe fort (mélangez chiffres et lettres avec au moins 15 caractères)
- Lancez OpenSSL (pour Windows, cliquez sur le logo Windows en bas à gauche, trouvez le dossier OpenSSL et lancez « Win64 OpenSSL Command Prompt »)
-
Tapez la commande suivante :
openssl pkcs12 -export -out votrenomdefichier.pfx -inkey votrenomcleprivee.key -in votrecertificat.pem
- Une fois la commande lancée, il vous sera demandé d’entrer le mot de passe que vous avez préparé ci-dessus : saisissez-le deux fois (NB : le curseur ne semble pas réagir, mais le mot de passe est bien pris en compte)
- Astuce : il est plus simple de créer votre mot de passe dans un Notepad, de le copier, puis de le coller dans la fenêtre OpenSSL
- Une fois le mot de passe validé deux fois consécutivement, le .PFX sera créé (conservez ce mot de passe pour pouvoir utiliser votre .PFX par la suite).
- Récupérez votre .PFX dans le même dossier où vous avez déposé le certificat et la clé privée
- C’est terminé !
Autres liens utiles :
Créer un pkcs12 (.pfx ou .p12) à partir de fichiers OpenSSL (.pem, .cer, .crt...) avec TBS : https://www.tbs-certificates.co.uk/FAQ/en/288.html
- SECTIGO SSL Converter - Convertir le format de n’importe quel certificat SSL : https://sectigostore.com/ssl-tools/ssl-converter.php
- Convertir votre certificat P7B en PFX : https://www.veritech.net/convert-p7b-certificate-pfx/
- Sectigo Validation >> FAQ sur la validation SSL
- Sectigo Validation >> Certificats validés par organisation (OV)
- Explication du certificat SSL validé par organisation (OV) de Sectigo
- Sectigo Validation >> Certificats de validation étendue (EV)
- Explication du certificat SSL validé étendu (EV) de Sectigo
- Dépréciation de la validation DCV par email WHOIS de Sectigo