Apprenez à ajouter et à modifier des certificats SSL personnalisés, ainsi qu’à supprimer les mots de passe des fichiers de clé privée.
Présentation
Les certificats SSL personnalisés offrent plusieurs avantages :
- Ils ne sont pas partagés par plusieurs domaines client.
- Les clients peuvent servir des certificats SSL d’origine valides et existants à partir du réseau Cloudflare.
Les domaines des offres Business et Enterprise Plan sont autorisés à servir des certificats SSL personnalisés une fois que les domaines sont actifs sur Cloudflare. Un seul certificat SSL personnalisé est autorisé par domaine, avec l’offre Business Plan. Par défaut, les clients Enterprise dispose d’un certificat SSL personnalisé par domaine Enterprise, mais peuvent demander des certificats SSL personnalisés supplémentaires à leur équipe de compte Cloudflare.
Cloudflare permet de charger plusieurs types de certificats SSL :
- UCC (Unified Communications Certificates)
- EV (Extended Validation)
- OV (Organization Validated)
Avant de charger un certificat SSL personnalisé sur Cloudflare, assurez-vous que le fichier de clé privée ne soit pas protégé par mot de passe.
Conditions préalables
Avant de télécharger votre certificat SSL personnalisé vers Cloudflare, deux conditions préalables sont nécessaires :
Supprimer le mot de passe du fichier clé
Si vous chargez un fichier-clé protégé par mot de passe, l’application SSL/TLS de Cloudflare génèrera l’erreur suivante :
La clé est protégée par mot de passe. Veuillez supprimer le mot de passe et soumettre à nouveau.
Pour supprimer un mot de passe de fichier clé, la solution dépend du système d’exploitation. Par exemple, si mydomain.com.key est le fichier de clé privée, la protection par mot de passe peut être supprimée via l’une des méthodes suivantes :
1. Ouvrez une console de commande.
2. Accédez au répertoire contenant le fichier mydomain.com.key.
3. Copiez la clé d’origine :
cp mydomain.com.key temp.key
4. Exécutez la commande suivante :
openssl rsa -in temp.key -out mydomain.com.key
5. Lorsque vous y êtes invité dans la fenêtre de la console, entrez le mot de passe de la clé d’origine.
6. Chargez le contenu du fichier mydomain.com.key sur Cloudflare.
1. Accédez à http://indy.fulgan.com/SSL/.
2. Téléchargez la dernière version d’OpenSSL pour votre système d’exploitation x86 ou x86_64.
3. Ouvrez le fichier .zip et procédez à l’extraction.
4. Cliquez sur openssl.exe.
5. Dans la fenêtre de commande qui apparaît, exécutez :
rsa -in C:\Path\To\mydomain.com.key -out key.pem
6. Entrez le mot de passe de la clé d’origine à l’invite de la fenêtre de commande openssl.exe.
7. Chargez le contenu du fichier key.pem et non celui de mydomain.com.key, dans Cloudflare.
Convertir la clé privée et le certificat au format PEM
Assurez-vous que la clé privée et le certificat soient convertis à un format PEM standard tel que PFX. Cloudflare accepte les formats suivants :
- Les clés et les certificats codés PEM sont contenus dans un fichier texte brut, généralement avec l’extension .pem, contenant le certificat non chiffré et/ou la clé privée.
- Les fichiers PKCS#7 se terminent généralement par une extension .p7b ou .p7c et sont codés au format « signedData » (les formats data, enveloppedData, signedAndEnvelopedData, digestedData et encryptedData ne sont pas pris en charge).
- Les fichiers PKCS#12 se terminent généralement par .pfx ou .p12 et sont chiffrés avec un mot de passe vide.
Voir la documentation sur la conversion à l’aide d’OpenSSL pour des exemples de conversion. Ignorer cette condition préalable va entrainer une erreur lors du chargement du certificat SSL : La clé n’a pas pu être interprétée.
Charger un certificat SSL personnalisé
Effectuez les étapes suivantes pour charger un certificat SSL personnalisé :
1. Connectez-vous au tableau de bord Cloudflare.
2. Cliquez sur le compte Cloudflare concerné et sélectionnez le domaine approprié.
3. Cliquez sur l'applicationSSL/TLS.
4. Cliquez sur Charger un certificat SSL personnalisé dans la section Certificats Edge. La fenêtre de chargement du certificat SSL personnalisé et de la clé s’affiche alors.
5. Ouvrez le fichier de certificat SSL.
6. Copiez et collez le contenu du fichier de certificat SSL dans la zone de texte Certificat SSL.
7. Choisissez la méthode de regroupement adaptée (voir les instructions ci-dessous).
8. Ouvrez le fichier de clé privée du certificat SSL.
9. Copiez et collez le contenu du fichier de clé privée dans la zone de texte Clé privée.
10. Choisissez le Geo Key Manager (voir les instructions ci-dessous).
Les étapes pour mettre à jour un certificat SSL personnalisé sont très similaires au processus de chargement initial du certificat.
Choisir la méthode de regroupement
La méthode de regroupement décrit la manière dont le certificat SSL sera groupé avec les certificats intermédiaires pour compléter la chaîne de certificats. La méthode de regroupement permet aux clients de choisir leur chaîne de certificats SSL préférée :
- Compatible offre la plus grande compatibilité avec les anciens navigateurs et clients.
- Moderne optimise l’efficacité de la chaîne de certificats en utilisant des certificats intermédiaires plus récents et moins nombreux, qui négligent certains navigateurs plus anciens.
- Défini par l’utilisateur permet aux clients de fournir leur propre chaîne de certificats.
Choisir les restrictions de clé privée de Geo Key Manager
Geo Key Manager limite les datacenters Cloudflare qui stockent la clé privée SSL. La distance géographique entre la région du datacenter contenant les clés privées et l’emplacement de la requête HTTPS du visiteur, peut entraîner une latence pour les requêtes initiales. Consultez l’article de blog de Cloudflare présentant le Geo Key Manager pour en savoir plus.
Activer l'assistance pour les anciens clients
l'assistance pour les anciens clients active la prise en charge Server Name Indication (SNI). Les options sont les suivantes :
- Modern : SNI uniquement
- Legacy : compatibilité non-SNI
Modern est le comportement par défaut et est recommandé par Cloudflare. Utilisez Legacy lorsqu'un client spécifique a besoin d'un système non-SNI Actuellement, l'API de Cloudflare traite tous les certificats SSL personnalisés en tant que Legacy.
Mettre à jour un certificat SSL personnalisé
Chaque certificat SSL a une date d’expiration. Les certificats SSL personnalisés ne sont pas automatiquement renouvelés par Cloudflare. Par conséquent, vous devez surveiller les dates d’expiration de vos certificats SSL personnalisés et acquérir des certificats SSL à jour auprès du fournisseur de certificats.
Mettez à jour un certificat SSL personnalisé précédemment chargé en procédant comme suit :
1. Connectez-vous au tableau de bord Cloudflare.
2. Cliquez sur le compte Cloudflare approprié pour le concerné et sélectionnez le domaine approprié.
3. Cliquez sur l'applicationSSL/TLS.
4. Sous Certificats Edge, cliquez sur Gérer pour le certificat SSL personnalisé dans lequel Type est défini sur Chargé.
5. Cliquez sur l’icône de clé à molette et la fenêtre Remplacer le certificat SSL et la clé s’affiche.
6. Suivez les instructions d’origine à partir de l’étape 5 de la section Télécharger un certificat SSL personnalisé de ce guide.