Installation Certificat CaCert non reconnu?

#1

Bonjour tout le monde.

J’ai eu du mal à effectué la tâche que j’ai réalisé, donc je le note pour la postérité. Néanmoins, elle doit être perfectible, puisqu’elle annonce des erreurs de fonctionnement au terminus.

Je suis parti de cette page d’explication pour mettre un certificat sur mon serveur web.

J’avais déjà repéré CaCert, donc, je me suis dis, youpi j’y fonce.

Bon, gros dilemme. Je n’ai rien compris à cette portion là… :

"Ces deux fichiers doivent être copiés sur le serveur, s’ils ne s’y trouvent pas déjà.

scp CERTIFICAT.crt admin@DOMAIN.TLD:ssl.crt
scp CLE.key admin@DOMAIN.TLD:ssl.key

Depuis Windows, scp est exploitable avec putty, en téléchargeant l’outil pscp

pscp -P 22 CERTIFICAT.crt admin@DOMAIN.TLD:ssl.crt
pscp -P 22 CLE.key admin@DOMAIN.TLD:ssl.key

Dès lors que les fichiers sont sur le serveur, le reste du travail se fera sur celui-ci. En ssh ou en local."

Youpi. Donc, si j’ai bien compris, je fait mon certificat puis je le télécharge. Reste à trouver comment faire.
A force de bidouilles et de recherches, je suis tombé au bout de quelques heures là dessus

Formidable ! Je me rue sur mon PuTTY, rentre les informations adéquates, et paf ! Cela ne marche pas. Bon, j’ai dû louper un truc, je recommence. Que nenni, CSRGenerator ne veut pas se lancer. Encore un échec.

Je continue donc de chercher et je tombe, en fouillant les méandres du site de CaCert sur cette pépite


Avant de continuer, il faut savoir que c’est une communauté où il faut s’inscrire. Donc :

  • On donne une adresse mail de son serveur domaine.tld qui est valide (de préférence admin@domaine.tld ou webmaster@domaine.tld)
  • On certifie notre nom de domaine avant de demander le certificat serveur.
  • On peut passer à la suite de la procédure.

Mon Anglais n’est pas terrible, mais je comprend le minimum :

  1. On génère la clef et on fait notre CSR (comme je l’ai appris aujourd’hui, j’explique : le CSR est une demande de certificat sous forme de code reprenant les informations qu’on a glissé dans un questionnaire)
    PuTTY est votre allié,
    openssl req -nodes -newkey rsa:4096 -keyout my.key -out my.csr
    my.key et my.csr sont respectivement la clef publique de votre domaine et la demande de certificat. Songez à remplacer “my” par votre propre mot, par exemple “demande” ou “clé”. J’ai donc pour l’exemple, demande.csr et clé.key
  2. Via son navigateur, on rentre le contenu de demande.csr dans cette page en cochant la petit case du bas (je commente personnellement en expliquant pour quel serveur est cette demande) et on obtient son certificat ! VICTOIRE !
  3. PuTTY est votre allié,
    nano certificat.crt
    où l’on colle notre certificat avant de l’enregistrer.

Et là c’est magique. Vous vous souvenez de cette phrase à laquelle je me retrouvais coincé au début ?

“Ces deux fichiers doivent être copiés sur le serveur, s’ils ne s’y trouvent pas déjà.”

Et bien c’est fait. my.key et certificat.crt représentent respectivement les deux fichiers requis et nommés par Yunohost comme ssl.key et ssl.crt.

J’ai sauté la dernière étape de ma fameuse pépite et je suis revenu sur cette page d’explication de Yunohost en n’oubliant de remplacer ssl.crt et ssl.key par les noms que j’ai moi même donné (dans notre exemple, c’est clé.key et certificat.crt)

Là se termine mon tutoriel. Parce que même si je n’ai pas d’erreur, GéoCerts me désigne bien CaCert comme fournisseur de certificat mais m’explique que :

A valid Root CA Certificate could not be located, the certificate will likely display browser warnings.

Et en effet, le certificat n’est toujours pas reconnu par mes navigateurs. Pourtant, root.crt (le certificat racine de CaCert) est bien récupéré via votre tutoriel. Est-il mal placé ?

Si vous avez une idée, je suis preneur. :smiley:

CACert : certificat principal et WILDCARD, gratuits
Erreur serveur après tentative d'install Letsencrypt
#2

Aïe. Mon sujet ne semble pas vous parler. :confused:

Bon, je continuerai de chercher de mon côté.

#3

Bon, j’ai trouvé ma réponse.

CaCert certifie bien, mais n’est juste pas reconnu par tous les navigateurs. Tant pis. :slight_smile: