Achat d'un certificat
Vous êtes désormais prêt à acheter un certificat. Après avoir reçu le certificat, répétez simplement les étapes de la section la section intitulée Installation et test de votre certificat pour l'installer.
Si vous achetez le certificat à une CA très connue, vous ne devrez probablement pas modifier le navigateur pour qu'il accepte le certificat, du fait que de nombreux navigateurs sont préconfigurés pour accepter les certificats signés par des CA connues.
Achat d'un certificat auprès de VeriSign
Le processus d'achat d'un certificat de VeriSign est similaire à une demande de certificat de test gratuit. Vous devez cependant commencer par choisir le type de certificat à acheter. Reportez-vous à la la section intitulée Paquetages de certificat VeriSign pour une description des certificats de VeriSign.
Dans cette section, nous décrivons le processus d'achat d'un certificat auprès de VeriSign. Entrez http://www.verisign.com/server/. Choisissez le type de serveur que vous voulez acheter et entrez les informations requises. Cliquez sur Continue jusqu'à pouvoir choisir entre les processus d'inscription Wizard et Standard pour l'achat de certificats. Nous allons examiner le processus d'inscription Standard.
Désormais, le processus d'achat est quelque peu standardisé. Nous allons parcourir, pas à pas, dans ce document, le processus d'achat d'un certificat de site sécurisé ; vous devriez être en mesure d'utiliser les instructions pour acheter une autre catégorie de certificat.
Lisez les informations fournies. Songez éventuellement à imprimer une copie de leur guide pas à pas. Lisez également le document intitulé Freeware Apache Notice. Lorsque vous avez terminé, cliquez sur le bouton Continue au bas de la page.
L'étape suivante consiste à "obtenir une preuve de droit". Ceci signifie que vous devez prouver à VeriSign la légitimité de votre organisation. La manière la plus simple de procéder consiste à leur communiquer votre numéro D-U-N-S ; mais il en existe d'autres si vous n'avez pas de numéro D-U-N-S ou ne voulez pas en utiliser un. Reportez-vous aux instructions fournies par VeriSign si vous voulez prouver l'identité de votre organisation autrement qu'avec un numéro D-U-N-S. Vous devez disposer de cette preuve, prête pour soumission à VeriSign, avant de demander un certificat. Une fois que vous avez les documents requis ou un numéro D-U-N-S, appuyez sur Continue au bas de la page.
La page suivante intitulée Confirm Domain Name est illustrée à la Figure 3-7. Vous devez disposer d'un nom de domaine enregistré valide pour obtenir un certificat. Cette page vous demande d'obtenir un résultat de requête whois pour votre nom de domaine. Le résultat de la requête whois sera utilisé par VeriSign pour confirmer que votre organisation contrôle réellement le domaine pour lequel vous allez utiliser leur certificat.
Cliquez sur le lien applicable dans la colonne des pages de recherche de whois et utilisez leur service whois pour rechercher votre nom de domaine. Vous devez rechercher le nom de domaine de second niveau (c'est-à-dire votre_domaine.com au lieu de www.votre_domaine.com). Imprimez ou enregistrez le résultat de la requête whois, puis retournez à la page Web de VeriSign. Cliquez sur Continue.
La page suivante est intitulée Generate CSR. Elle comprend un avertissement sur les longueurs de clé inférieures à 512 bits. Vous pouvez tranquillement ignorer cet avertissement si vous avez suivi les instructions fournies dans ce guide pour la création de votre clé.
Si vous avez suivi les instructions de la la section intitulée Génération d'une clé, et de la la section intitulée Génération d'une demande de certificat, vous avez déjà généré une demande de signature de certificat (CSR). Votre CSR doit être enregistré comme /etc/httpd/conf/server.csr. Si vous n'avez pas généré de clé ni de demande de certificat, suivez les instructions de ces deux sections. Cliquez sur le bouton Continue pour poursuivre.
La page Submit CSR, illustrée à la Figure 3-8, montre un exemple de demande de certificat.
Collez le contenu de votre fichier server.csr dans la zone de texte Enter CSR Information . Utilisez la zone de liste déroulante libellée Select Server Vendor pour choisir "Red Hat Linux" (ou, si "Red Hat Linux" n'est pas un choix possible, choisissez "Apache Freeware with SSLeay"). Appuyez sur le bouton Continue au bas de la page.
Confirmez les informations de votre CSR.
La page suivante, Complete Application, contient une demande à compléter.
Entrez, dans la section Enter Technical Contact Information, les informations relatives à l'administrateur ou au webmaster de Red Hat Linux Secure Server.
Entrez, dans la section Enter Organizational Contact Information, les informations appropriées, en fonction des instructions fournies par VeriSign.
Entrez, dans la section Enter Billing Contact Information, les informations relatives à la personne à contacter pour les questions de facturation.
Entrez une "phrase confidentielle" dans la zone prévue à cet effet. Vous devrez peut-être communiquer cette phrase confidentielle si vous avez besoin d'un support de VeriSign ; c'est pourquoi il convient de l'enregistrer et de la conserver en lieu sûr.
Indiquez le moyen de paiement du certificat.
Après avoir lu le contrat serveur, cliquez sur le bouton Continue au bas de la page. Votre demande sera envoyée.
Après avoir complété votre formulaire d'inscription et une fois vos informations et votre paiement remis à VeriSign, l'identité de votre organisation est authentifiée et votre certificat est émis. Une fois la demande approuvée, votre certificat est envoyé par courrier électronique aux contacts techniques et administratifs indiqués.
Enregistrez le certificat que VeriSign vous envoie dans /etc/httpd/conf/server.crt. Suivez les étapes décrites à la la section intitulée Installation et test de votre certificat pour installer votre certificat.
Achat d'un certificat à Thawte
Pour acheter un certificat à Thawte, procédez comme suit :
Pointez votre navigateur sur l'adresse http://www.thawte.com/certs/server/request.html, où Thawte présente les étapes nécessaires.
La première chose à faire consiste à réunir les documents nécessaires, comme indiqué à la la section intitulée Preuve de l'identité de votre organisation apportée à Thawte et dans la page Web précitée.
L'étape suivante consiste à générer une clé et une demande de signature de certificat (CSR). Si vous avez suivi les instructions de la la section intitulée Génération d'une clé et de la la section intitulée Génération d'une demande de certificat, vous disposez déjà d'une clé (/etc/httpd/conf/server.key) et d'une CSR (/etc/httpd/conf/server.csr). Si vous n'avez pas encore créé de clé ni de demande de certificat, faites-le à présent à l'aide des instructions figurant dans ce document.
Utilisez votre navigateur Web pour accéder à la page Web Buy a Certificate de Thawte à l'adresse https://www.thawte.com/cgi/server/step1.exe. Sélectionnez SSL Server Certificate. Cliquez sur le bouton Next au bas de la page.
La page suivante, Server Cert Enrollment, est illustrée à la figure Figure 3-9. Collez le contenu de votre fichier /etc/httpd/conf/server.csr dans la zone de texte Certificate Signing Request (CSR).
Choisissez Red Hat Secure Server dans le menu déroulant Web Server Software.
Choisissez le mode de paiement du certificat.
Cliquez sur Next au bas de la page.
La page suivante contient un formulaire à compléter.
Sous Background Information, dans le menu déroulant, sélectionnez une description pour votre organisation ou entrez votre propre description dans la zone de texte prévue à cet effet.
Si vous avez un numéro D-U-N-S, entrez-le dans la zone de texte sous DUNS Number.
Complétez les informations de contact concernant la personne de votre organisation qui signera la lettre d'autorisation, comme décrit à la la section intitulée Preuve de l'identité de votre organisation apportée à Thawte.
Sous Technical Contact/Webmaster, complétez les informations de contact relatives à l'administrateur ou au webmaster de Red Hat Linux Secure Server.
Cliquez sur le bouton Next au bas de la page.
La page suivante, également intitulée Server Cert Enrollment, illustrée à la Figure 3-11 est la dernière page de leur formulaire d'inscription. Dans le premier menu déroulant, sélectionnez la devise dans laquelle vous voulez payer Thawte.
Entrez le nom de la rue de votre organisation dans la zone de texte Office Street Address.
Entrez le numéro de fax de votre organisation dans la zone de texte sous Office Fax Number.
Dans le menu déroulant sous Nearest Thawte Office, choisissez le bureau Thawte le plus proche de votre organisation.
Si vous le souhaitez, vous pouvez entrer un mot de passe ou une phrase confidentielle dans la zone de texte sous Privacy Protection Password . Après avoir soumis votre candidature, vous serez en mesure de vérifier son état sur le Web. Si vous entrez un mot de passe ici, seules les personnes le connaissant seront en mesure de vérifier l'état de votre demande. Si vous n'en entrez pas, n'importe qui pourra consulter votre demande.
Cliquez sur Next au bas de la page.
La page suivante indique que la soumission est terminée. Cette page fournit un numéro de suivi pour votre demande, de sorte que vous pouvez surveiller son état sur le Web.
Une fois que Thawte a reçu votre documentation et votre paiement, le certificat doit être envoyé par courrier électronique dans les cinq jours ouvrables.
Enregistrez votre certificat dans /etc/httpd/conf/server.crt. Reportez-vous à la la section intitulée Installation et test de votre certificat pour plus de détails sur l'installation de votre certificat.
