1 000 FAQ, 500 tutoriels et vidéos explicatives. Ici, il n'y a que des solutions !
Importer un certificat SSL personnalisé
Ce guide explique comment…
- … générer une CSR et clé privée pour faire la demande d'un certificat tiers auprès d'une autorité de certification (CA)
- … importer ce certificat pour votre site Infomaniak, grâce au CRT obtenu auprès de la CA
Préambule
- Bien qu'Infomaniak propose tous les certificats SSL dont vous pourriez avoir besoin…
- certifs gratuits Let's Encrypt pour les sites personnels (uniquement possible avec les sites hébergés chez Infomaniak)
- certifs DV de Sectigo pour les sites professionnels/particuliers qui ne sont pas inscrits au registre du commerce
- certifs EV de Sectigo pour les entreprises inscrites au registre du commerce
- … il est également possible d'installer un certificat SSL obtenu ailleurs (certificat intermédiaire/intermediate d'un organisme de certification de votre choix), certificats personnalisés ou auto-signés.
1. Générer une CSR (Certificate Signing Request)
Une CSR (Certificate Signing Request ou Demande de Signature de Certificat) est un fichier encodé contenant des informations nécessaires pour demander un certificat SSL/TLS. Elle doit être générée de votre côté, afin de garantir que la clé privée reste sous votre contrôle, en utilisant p.ex OpenSSL
Adaptez et entrez cette commande dans un terminal:
openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"
Explications
newkey rsa:2048
: Génère une nouvelle clé RSA de 2048 bits.keyout domain.xyz.key
: Spécifie le fichier où sera sauvegardée la clé privée.out domain.xyz.csr
: Spécifie le fichier où sera enregistrée la CSR.addext “subjectAltName = ...”
: Ajoute des domaines supplémentaires via l'extension SAN (Subject Alternative Name), nécessaire pour inclure tous les domaines souhaités dans le certificat (le domaine principal domain.xyz + tout autre domaine ou sous-domaine associé, comme www.domain.xyz).
Après génération, vous pouvez vérifier le contenu de la CSR avec la commande suivante :
openssl req -in domain.xyz.csr -noout -text
Cela permet de vérifier que tous les domaines listés dans subjectAltName sont correctement inclus.
Une fois la CSR générée, vous pouvez la transmettre à l'autorité de certification (CA) pour obtenir votre certificat SSL/TLS.
2. Importer le certificat externe
Une fois validée, la CA vous délivre un certificat (domain.xyz.crt
) et parfois un certificat intermédiaire (ca_bundle.crt
). Pour accéder à la gestion des certificats SSL :
- Cliquez ici afin d'accéder à la gestion de votre produit sur le Manager Infomaniak (besoin d'aide ?).
- Cliquez directement sur le nom attribué au produit concerné.
- Cliquez sur Certificats SSL dans le menu latéral gauche.
- Cliquez sur le bouton bleu Installer un certificat:
- Choisissez le certificat personnalisé.
- Cliquez sur le bouton Suivant:
- Importez votre certificat et clé privée, soit par importation des fichiers
.crt
et.key
soit par copier-coller. - Cliquez sur Compléter:
Commande alternative pour générer un certificat auto-signé (facultatif)
Si vous souhaitez un certificat local uniquement pour des tests ou sans passer par une CA (non recommandé pour la production), vous pouvez utiliser cette commande :
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”
Cela génère à la fois un certificat auto-signé (domain.xyz.crt
) et une clé privée (domain.xyz.key
). Cependant les certificats auto-signés ne sont pas reconnus comme valides par les navigateurs ou systèmes publics. Ils ne conviennent qu'à des environnements internes ou de développement.