Installation d’un certificat SSL multidomaine COMODO

Nous avons vu dans un ancien article comment générer un certificat autosigné sur un Apache.

Dans cet article nous allons vous montrer comment générer un Certificat multi domaines COMODO.

Génération de la clé privée SSL

Dans un premier temps nous allons commencer par générer notre clé privée : Le chiffrage doit se faire sur 2048 bytes our les certificats COMODO

openssl genrsa -out san_domain.key 2048

Génération du certificat intermédiaire CSR

L’étape suivante est la génération du fichier CSR contenant les différents noms de domaines pour lesquels nous allons demander le certificat officiel COMODO

openssl req -new -out san_domain.csr -key san_domain.key -config san_openssl.cnf

Dans cette instruction le point le plus important est le fichier san_openssl.cnf contenant la configuration SSL utilisée pour la génération.

Son contenu est identique au fichier natifs openssl.cnf avec la modifications des blocs d’informations suivants:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = MN
localityName = Locality Name (eg, city)
localityName_default = Minneapolis
organizationalUnitName   = Organizational Unit Name (eg, section)
organizationalUnitName_default   = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max   = 64

[v3_req]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = votrenomdemaine1.com
DNS.2 = votrenomdemaine2.com
IP.1 = 192.168.160.1
IP.2 = 192.168.161.2

Vérification du certificat intermédiaire CSR

Pour vérifier le contenu du fichier csr généré on peut utiliser la commande suivante:

openssl req -text -noout -in san_domain.csr

Dans le contenu affiché dans la console on devrait voir les noms demaines/adresses ip que nous avons déclaré dans san_openssl.cnf.

Le contenu du Zip certificat SSL mutidomaine COMODO

La troisième étape est l’achat du certificat SIGNE COMODO du site www.comodo.com.

Comodo nous fournis un dossier zip contenant 3 fichiers :

AddTrustExternalCARoot.crt : Certificat root
COMODOSSLCA.crt : Certificat intermédiaire
XXXXXX.crt : Votre certificat publique.

Installation du certificat SSL mutidomaine COMODO

L’installation du certificat est alors un jeu d’enfant !

Dans votre configuration du serveur apache exemple : /etc/httpd/conf.d/ vous trouverez la configuration SSL utilisée dans votre plateforme. ssl.conf

3 lignes sont à modifier :

Générer un fichier bundle contenant les deux certificats : Root et Intermédiaire, la commande à utiliser est :

cat COMODOSSLCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle

Déposer les trois fichiers : Clé, le certificat et le bundle dans les emplacements spécifiques

/etc/ssl/ssl.key/san_domain.key
/etc/ssl/ssl.crt/XXXXXX.crt
/etc/ssl/ssl.crt/yourDomainName.ca-bundle

Dans la sectionVirtualHost ajouter ou modifier les directives suivantes :

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/san_domain.key
SSLCertificateFile /etc/ssl/ssl.crt/XXXXXX.crt
SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

Ensuite il suffit de redémarrer votre serveur apache et le tour est joué.

Problèmes sécurité sur Android

Attention : Si l’étape SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle n’est faite, le certificat fonctionnera sur l’ensemble des plateforme et browsers à l’exception d’Android qui affichera un message de sécurité !