Certificat SSL pour serveur Web et Jabber gratuit

Pour avoir un certificat SSL non auto-signé (qui ne fais donc pas râler les navigateurs) et valide pour un an, gratuitement.

méthode pas-à-pas en passant par startssl.com

Mise à jour concernant le renouvellement

1] Tout d'abord, il faut avoir un serveur Web (c'est mieux!), ainsi qu'un nom de domaine (obligatoire, j'ai pris le mien chez gandi.net grâce à un bon: un an gratuit! :p )

Ensuite, il faut trouver un site qui veuille bien faire une certification reconnue gratuite, j'ai trouvé startssl.com.

2] Vous choisissez la formule gratuite (Class1) et vous cliquez ensuite sur "Certificate Control Panel", puis sur "Sign Up".


Remplissez tous les champs demandés puis faites "continue". Après avoir donnés les différents renseignements, on vous demande de rentrer un code de confirmation: il a été envoyé à l'adresse mail fourni. Cela va authentifier l'adresse mail comme étant la votre. Le site va ensuite vous envoyer un certificat que votre navigateur va enregistrer. Pensez à sauvegarder rapidement ce certificat, sinon vous ne pourrez pas vous connecter à ce site si vous le perdez (ou utilisez un autre navigateur)! Pour firefox il faut aller dans l'onglet "Avancé" des Préférences/Options puis l'onglet "Chiffrement" et le bouton "Certificats" (c'est le certificat "StartCom Free Certificate Membe"r)

3] Connectez vous ensuite au site grâce au certificat et allez dans l'onglet "Validation Wizard" et choisissez "Domain Name Validation":


On vous demande le nom de domaine à authentifier. (Il faut que ça soit un domaine, pas un sous-domaine!)
On vous envoie ensuite un courrier sur l'une des adresses proposées (pensez à activer le serveur de mail chez votre fournisseur de nom de domaine et a créer une adresse mail qui corresponde, ou bien a créer votre propre serveur de mail et à faire la redirection DNS dessus.).
Comme précédemment, ce courrier comporte un code de confirmation qu'il faut copier dans le formulaire de startssl.

4] Retournez ensuite dans votre "Tool Box" et allez dans l'onglet "Certificates Wizards" et choisissez "Web Server SSL/TLS Certificat". Je conseil de créer la clé et de suivre les instructions.
La commande pour enlever le mot de passe:

openssl rsa -in ssl.key -out ssl.key 

(bien tout lire lors de la création de la clé et une fois qu'elle est générée, au pire, j'ai suivi un tuto pour lighttpd qui redonne les commandes à réaliser).
À noter que les manipulation à faire sont pour les OS Unix-Like mais il doit y avoir des équivalents pour Windows.
Une fois que vous aurez le ssl.key, continuez la procédure.
Fournissez un sous-domaine (généralement www) puis validez. Attendez que votre demande soit étudiée par StartSSL. Une fois qu'ils jugent votre demande valide, on vous donne le certificat à copier dans un fichier ssl.crt .
Ajoutez votre clé au certificat:

cat ssl.key >> ssl.crt

5] Il faudra ensuite télécharger ici plusieurs fichiers afin de recréer le certificat de l'organisme.
sub.class1.server.ca.pem
ca.pem
et faire la commande suivante:

cat ca.pem sub.class1.server.ca.pem >> ca-certs.crt

6] Pour avoir un certificat pour jabber, la méthode est la même sauf qu'au lieu de choisir "Web server…", vous choisissez "Jabber SSL/TLS Certificat" voilà! La partie concernant startssl est terminée!
Il ne reste plus qu'à mettre les fichiers ssl.crt et ca-certs.crt dans le bon dossier avec des autorisations minimum (uniquement en lecture est déjà une bonne idée).

Mise à jour du 31/03/2011
Pour mettre à jour le certificat, le mieux est encore d'attendre la fin de validité de l'ancien et d'en refaire un nouveau. la démarche est exactement la même, refaire les manipulations depuis le point 3 pour avoir un certificat valide un an.