2017-11-26 13:48:24 +01:00
**Note :** depuis la version 2.5, Yunohost intègre la gestion automatisée de certificats Let's Encrypt. Vous pouvez donc facilement et gratuitement [installer un certificat Let's Encrypt ](certificate_fr ). Le document suivant décrit la méthodologie pour installer un certificat, payant, d'une autre autorité de certification (**Gandi**, **RapidSSL** , **StartSSL** , **Cacert** ).
2017-11-26 13:10:00 +01:00
### Ajout d’
Après création du certificat auprès de votre autorité d’ ’ ’
> Attention, le fichier key est très sensible, il est strictement personnel et doit être très bien sécurisé.
Ces deux fichiers doivent être copiés sur le serveur, s’ ’
```bash
scp CERTIFICAT.crt admin@DOMAIN.TLD:ssl.crt
scp CLE.key admin@DOMAIN.TLD:ssl.key
```
Depuis Windows, scp est exploitable avec putty, en téléchargeant l’ pscp ](http://the.earth.li/~sgtatham/putty/latest/x86/pscp.exe )
```bash
pscp -P 22 CERTIFICAT.crt admin@DOMAIN.TLD:ssl.crt
2017-11-26 13:30:25 +01:00
pscp -P 22 CLE.key admin@DOMAIN.TLD:ssl.key
```
2017-11-26 13:18:57 +01:00
2017-11-26 13:10:00 +01:00
Dès lors que les fichiers sont sur le serveur, le reste du travail se fera sur celui-ci. En [ssh ](https://yunohost.org/#/ssh_fr ) ou en local.
Tout d’
```bash
sudo mkdir /etc/yunohost/certs/DOMAIN.TLD/ae_certs
2017-11-26 13:30:25 +01:00
sudo mv ssl.key ssl.crt /etc/yunohost/certs/DOMAIN.TLD/ae_certs/
```
2017-11-26 13:10:00 +01:00
Puis allez dans le dossier parent pour poursuivre.
```bash
2017-11-26 13:30:25 +01:00
cd /etc/yunohost/certs/DOMAIN.TLD/
```
2017-11-26 13:10:00 +01:00
Faites une sauvegarde des certificats d’
```bash
sudo mkdir yunohost_self_signed
2017-11-26 13:30:25 +01:00
sudo mv *.pem * .cnf yunohost_self_signed/
```
2017-11-26 13:10:00 +01:00
En fonction de l’ ’
> **StartSSL**
> ```bash
> sudo wget http://www.startssl.com/certs/ca.pem -O ae_certs/ca.pem
2017-11-26 13:30:25 +01:00
> sudo wget http://www.startssl.com/certs/sub.class1.server.ca.pem -O ae_certs/intermediate_ca.pem
>```
2017-11-26 13:10:00 +01:00
> **Gandi**
> ```bash
2017-11-26 13:34:40 +01:00
> sudo wget https://www.gandi.net/static/CAs/GandiStandardSSLCA2.pem -O ae_certs/intermediate_ca.pem
>```
2017-11-26 13:10:00 +01:00
> **RapidSSL**
> ```bash
2017-11-26 13:34:40 +01:00
> sudo wget https://knowledge.rapidssl.com/library/VERISIGN/INTERNATIONAL_AFFILIATES/RapidSSL/AR1548/RapidSSLCABundle.txt -O ae_certs/intermediate_ca.pem
>```
2017-11-26 13:10:00 +01:00
> **Cacert**
> ```bash
> sudo wget http://www.cacert.org/certs/root.crt -O ae_certs/ca.pem
2017-11-26 13:34:40 +01:00
> sudo wget http://www.cacert.org/certs/class3.crt -O ae_certs/intermediate_ca.pem
>```
2017-11-26 13:10:00 +01:00
Les certificats intermédiaires et root doivent être réunis avec le certificat obtenu pour créer une chaîne de certificats unifiés.
```bash
2017-11-26 13:30:25 +01:00
cat ae_certs/ssl.crt ae_certs/intermediate_ca.pem ae_certs/ca.pem | sudo tee crt.pem
```
2017-11-26 13:10:00 +01:00
La clé privée doit être, elle, convertie au format pem.
```bash
2017-11-26 13:30:25 +01:00
sudo openssl rsa -in ae_certs/ssl.key -out key.pem -outform PEM
```
2017-11-26 13:10:00 +01:00
Afin de s’
```bash
2017-11-26 13:30:25 +01:00
cat crt.pem key.pem
```
2017-11-26 13:10:00 +01:00
Les certificats et la clé privée doivent ressembler à cela :
2018-01-10 09:51:54 +01:00
`-----BEGIN CERTIFICATE-----` < br />
`MIICVDCCAb0CAQEwDQYJKoZIhvcNAQEEBQAwdDELMAkGA1UEBhMCRlIxFTATBgNV` < br />
`BAgTDENvcnNlIGR1IFN1ZDEQMA4GA1UEBxMHQWphY2NpbzEMMAoGA1UEChMDTExC` < br />
`MREwDwYDVQQLEwhCVFMgSU5GTzEbMBkGA1UEAxMSc2VydmV1ci5idHNpbmZvLmZy` < br />
`MB4XDTA0MDIwODE2MjQyNloXDTA0MDMwOTE2MjQyNlowcTELMAkGA1UEBhMCRlIx` < br />
`FTATBgNVBAgTDENvcnNlIGR1IFN1ZDEQMA4GA1UEBxMHQWphY2NpbzEMMAoGA1UE` < br />
`ChMDTExCMREwDwYDVQQLEwhCVFMgSU5GTzEYMBYGA1UEAxMPcHJvZi5idHNpbmZv` < br />
`LmZyMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSUagxPSv3LtgDV5sygt12` < br />
`kSbN/NWP0QUiPlksOkF2NkPfwW/mf55dD1hSndlOM/5kLbSBo5ieE3TgikF0Iktj` < br />
`BWm5xSqewM5QDYzXFt031DrPX63Fvo+tCKTQoVItdEuJPMahVsXnDyYHeUURRWLW` < br />
`wc0BzEgFZGGw7wiMF6wt5QIDAQABMA0GCSqGSIb3DQEBBAUAA4GBALD640iwKPMf` < br />
`pqdYtfvmLnA7CiEuao60i/pzVJE2LIXXXbwYjNAM+7Lov+dFT+b5FcOUGqLymSG3` < br />
`kSK6OOauBHItgiGI7C87u4EJaHDvGIUxHxQQGsUM0SCIIVGK7Lwm+8e9I2X0G2GP` < br />
`9t/rrbdGzXXOCl3up99naL5XAzCIp6r5` < br />
2017-11-26 13:10:00 +01:00
`-----END CERTIFICATE-----`
Enfin, sécurisez les fichiers de votre certificat.
```bash
sudo chown root:metronome crt.pem key.pem
sudo chmod 640 crt.pem key.pem
sudo chown root:root -R ae_certs
2017-11-26 13:30:25 +01:00
sudo chmod 600 -R ae_certs
```
2017-11-26 13:10:00 +01:00
2019-05-12 16:41:38 +02:00
Maintenant les certificats (les deux fichiers avec l'extension .pem) doivent être recopiés dans /etc/yunohost/certs/DOMAIN.TLD.
```bash
cp ae_certs/*.pem ./
```
2017-11-26 13:10:00 +01:00
Rechargez la configuration de nginx pour prendre en compte le nouveau certificat.
```bash
2017-11-26 13:30:25 +01:00
sudo service nginx reload
```
2017-11-26 13:10:00 +01:00
Votre certificat est prêt à servir. Vous pouvez toutefois vous assurez de sa mise en place en testant le certificat à l’ < a href = "https://www.geocerts.com/ssl_checker" target = "_blank" > geocerts< / a > .
