Gestion des certificats SSL personnalisés

Avatar
Damon
S’abonner

Apprenez à ajouter et à modifier des certificats SSL personnalisés, ainsi qu’à supprimer les mots de passe des fichiers de clé privée.

Présentation

Les certificats SSL personnalisés offrent plusieurs avantages :

  • Ils ne sont pas partagés par plusieurs domaines client.
  • Les clients peuvent servir des certificats SSL d’origine valides et existants à partir du réseau Cloudflare.

Les domaines des offres Business et Enterprise Plan sont autorisés à servir des certificats SSL personnalisés une fois que les domaines sont actifs sur Cloudflare. Un seul certificat SSL personnalisé est autorisé par domaine, avec l’offre Business Plan.  Par défaut, les clients Enterprise dispose d’un certificat SSL personnalisé par domaine Enterprise, mais peuvent demander des certificats SSL personnalisés supplémentaires à leur équipe de compte Cloudflare.

Cloudflare permet de charger plusieurs types de certificats SSL :

  • UCC (Unified Communications Certificates)
  • EV (Extended Validation)
  • OV (Organization Validated)
Cloudflare ne permet pas le chargement de certificats SSL auto-signés ou expirant dans un délai de 14 jours.

Avant de charger un certificat SSL personnalisé sur Cloudflare, assurez-vous que le fichier de clé privée ne soit pas protégé par mot de passe.

Conditions préalables

Avant de télécharger votre certificat SSL personnalisé vers Cloudflare, deux conditions préalables sont nécessaires :

Supprimer le mot de passe du fichier clé

Si vous chargez un fichier-clé protégé par mot de passe, l’application SSL/TLS de Cloudflare génèrera l’erreur suivante :

La clé est protégée par mot de passe. Veuillez supprimer le mot de passe et soumettre à nouveau.

Pour supprimer un mot de passe de fichier clé, la solution dépend du système d’exploitation. Par exemple, si mydomain.com.key est le fichier de clé privée, la protection par mot de passe peut être supprimée via l’une des méthodes suivantes :

Sur Linux :

     1. Ouvrez une console de commande.

2. Accédez au répertoire contenant le fichier mydomain.com.key.

     3. Copiez la clé d’origine :

          cp mydomain.com.key temp.key

     4. Exécutez la commande suivante :

          openssl rsa -in temp.key -out mydomain.com.key

5. Lorsque vous y êtes invité dans la fenêtre de la console, entrez le mot de passe de la clé d’origine.

6. Chargez le contenu du fichier mydomain.com.key sur Cloudflare.

Sur Windows :

1. Accédez à  http://indy.fulgan.com/SSL/.

2. Téléchargez la dernière version d’OpenSSL pour votre système d’exploitation x86 ou x86_64.

     3. Ouvrez le fichier .zip et procédez à l’extraction.

4. Cliquez sur openssl.exe.

     5. Dans la fenêtre de commande qui apparaît, exécutez :

          rsa -in C:\Path\To\mydomain.com.key -out key.pem

6. Entrez le mot de passe de la clé d’origine à l’invite de la fenêtre de commande openssl.exe.

7. Chargez le contenu du fichier key.pem et non celui de mydomain.com.key, dans Cloudflare.

Convertir la clé privée et le certificat au format PEM

Assurez-vous que la clé privée et le certificat soient convertis à un format PEM standard tel que PFX. Cloudflare accepte les formats suivants :

  • Les clés et les certificats codés PEM sont contenus dans un fichier texte brut, généralement avec l’extension .pem, contenant le certificat non chiffré et/ou la clé privée.
  • Les fichiers PKCS#7 se terminent généralement par une extension .p7b ou .p7c et sont codés au format « signedData » (les formats data, enveloppedData, signedAndEnvelopedData, digestedData et encryptedData ne sont pas pris en charge).
  • Les fichiers PKCS#12 se terminent généralement par .pfx ou .p12 et sont chiffrés avec un mot de passe vide.

Voir la documentation sur la conversion à l’aide d’OpenSSL pour des exemples de conversion.  Ignorer cette condition préalable va entrainer une erreur lors du chargement du certificat SSL : La clé n’a pas pu être interprétée.

Charger un certificat SSL personnalisé

Effectuez les étapes suivantes pour charger un certificat SSL personnalisé :

     1. Connectez-vous au tableau de bord Cloudflare.

2. Cliquez sur le compte Cloudflare concerné et sélectionnez le domaine approprié.

3. Cliquez sur l'applicationSSL/TLS.

4. Cliquez sur Charger un certificat SSL personnalisé dans la section Certificats Edge. La fenêtre de chargement du certificat SSL personnalisé et de la clé s’affiche alors.

Cloudflare requiert des fichiers distincts codés en pem pour la clé privée et le certificat SSL. Contactez votre autorité de certification pour vérifier que votre certificat réponde à cette exigence, ou demandez à votre autorité de vous aider à convertir le format du certificat.

     5. Ouvrez le fichier de certificat SSL.

Vous pouvez également cliquer sur le lien Coller depuis un fichier en haut à droite des zones de texte Certificat SSL et Clé privée pour rechercher les fichiers SSL appropriés.

6. Copiez et collez le contenu du fichier de certificat SSL dans la zone de texte Certificat SSL.

Incluez les lignes -----BEGIN et -----END entourant les données du certificat SSL et de la clé privée, comme indiqué dans l’exemple de contenu des zones de texte Certificat SSL et Clé privée.

7. Choisissez la méthode de regroupement adaptée (voir les instructions ci-dessous).

     8. Ouvrez le fichier de clé privée du certificat SSL.

9. Copiez et collez le contenu du fichier de clé privée dans la zone de texte Clé privée.

10. Choisissez le Geo Key Manager (voir les instructions ci-dessous).

Un message d’erreur apparaît lors de l’ajout d’une valeur de clé qui ne correspond pas au certificat SSL personnalisé : La clé fournie ne correspond pas au certificat. Contactez votre autorité de certification pour vous assurer que la clé privée corresponde bien au certificat.

Vous avez aussi la possibilité d’utiliser l’API v4 de Cloudflare pour charger des certificats.

Les étapes pour mettre à jour un certificat SSL personnalisé sont très similaires au processus de chargement initial du certificat.

Choisir la méthode de regroupement

La méthode de regroupement décrit la manière dont le certificat SSL sera groupé avec les certificats intermédiaires pour compléter la chaîne de certificats. La méthode de regroupement permet aux clients de choisir leur chaîne de certificats SSL préférée :

  • Compatible offre la plus grande compatibilité avec les anciens navigateurs et clients.
  • Moderne optimise l’efficacité de la chaîne de certificats en utilisant des certificats intermédiaires plus récents et moins nombreux, qui négligent certains navigateurs plus anciens.
  • Défini par l’utilisateur permet aux clients de fournir leur propre chaîne de certificats.

Choisir les restrictions de clé privée de Geo Key Manager

Geo Key Manager limite les datacenters Cloudflare qui stockent la clé privée SSL.  La distance géographique entre la région du datacenter contenant les clés privées et l’emplacement de la requête HTTPS du visiteur, peut entraîner une latence pour les requêtes initiales.  Consultez l’article de blog de Cloudflare présentant le Geo Key Manager pour en savoir plus.

Supprimez et ré-ajoutez un certificat SSL personnalisé afin de mettre à jour le paramètre Geo Key Manager.

Activer l'assistance pour les anciens clients

l'assistance pour les anciens clients active la prise en charge Server Name Indication (SNI).  Les options sont les suivantes : 

  • Modern : SNI uniquement
  • Legacy : compatibilité non-SNI

Modern est le comportement par défaut et est recommandé par Cloudflare.  Utilisez Legacy lorsqu'un client spécifique a besoin d'un système non-SNI  Actuellement, l'API de Cloudflare traite tous les certificats SSL personnalisés en tant que Legacy.  

Mettre à jour un certificat SSL personnalisé

Chaque certificat SSL a une date d’expiration. Les certificats SSL personnalisés ne sont pas automatiquement renouvelés par Cloudflare. Par conséquent, vous devez surveiller les dates d’expiration de vos certificats SSL personnalisés et acquérir des certificats SSL à jour auprès du fournisseur de certificats.

Cloudflare ne commence pas automatiquement à servir un certificat Universal SSL ou Dedicated SSL pour les domaines dans lesquels le certificat SSL personnalisé a expiré. Supprimez manuellement le certificat SSL personnalisé expiré de l’application SSL/TLS de Cloudflare, afin de commencer à servir le certificat Universal SSL ou Dedicated SSL.

Mettez à jour un certificat SSL personnalisé précédemment chargé en procédant comme suit :

     1. Connectez-vous au tableau de bord Cloudflare.

2. Cliquez sur le compte Cloudflare approprié pour le concerné et sélectionnez le domaine approprié.

3. Cliquez sur l'applicationSSL/TLS.

4. Sous Certificats Edge, cliquez sur Gérer pour le certificat SSL personnalisé dans lequel Type est défini sur Chargé.

5. Cliquez sur l’icône de clé à molette et la fenêtre Remplacer le certificat SSL et la clé s’affiche.

6. Suivez les instructions d’origine à partir de l’étape 5 de la section Télécharger un certificat SSL personnalisé de ce guide.

Cloudflare vérifie automatiquement la validité du certificat et de la clé privée pour éviter de remplacer un certificat valide existant.

Ressources associées

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 6 sur 22
Vous n'avez toujours pas trouvé ce que vous cherchez ?
Demander à la communauté   Soumettre une demande

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Questions populaires Pourquoi mon site est-il lent, 522 erreurs, J'attends un pic de trafic

Réalisé par Zendesk