Assistance création / installation certificat Let’s Encrypt sur Plesk x SafeBrands
Le module Certificat SSL/TLS / Let’s Encrypt de Plesk vous permet de sécuriser votre domaine et/ou ses services de messagerie installés sur le serveur à l’aide de certificats gratuits SSL/TLS de Let’s Encrypt, une Autorité de Certification gratuite et libre.
Vous pouvez sécuriser le domaine sur Plesk et le serveur de messagerie, ainsi que tout sous-domaine et/ou alias de domaine hébergé. Sécuriser votre domaine à l’aide de certificats Let’s Encrypt est simple et rapide. Il suffit de quelques clics depuis l’interface de Plesk. Le module Let’s Encrypt garde automatiquement à jour tous les certificats standards émis (non WildCard).
N.B : Let’s Encrypt n’émettra le fichier que si vous pouvez contrôler votre domaine. Et vous pouvez le faire en utilisant un logiciel client qui utilise le protocole ACME (Automatic Certificate Management Environment) . Avec le certificat SSL gratuit , vos communications obtiennent un cryptage de bout en bout. Ainsi, lorsque des fichiers passent entre votre serveur Web et ses utilisateurs, ils deviennent illisibles pour quiconque les intercepte. Et de plus, personne ne peut les altérer.
Comment créer et mettre à jour des certificats SSL gratuits Let’s Encrypt avec Plesk
Plesk inclut un module qui vous permet d’installer et gérer les certificats SSL gratuits Let’s Encrypt.
Pour fonctionner avec un certificat SSL Let’s Encrypt, le nom de domaine doit fonctionner dans un navigateur Web, qu’il ait ou non un contenu. Le processus ne fonctionne que pour un domaine valide avec une résolution DNS fonctionnelle.
Lorsque vous créez ou ajoutez un domaine au serveur, veillez à ajouter les enregistrements DNS appropriés (avec un enregistrement A indiquant l’adresse IP du serveur au minimum) et prévoyez un délai suffisant pour la propagation des modifications DNS.
Voici comment obtenir un certificat SSL gratuit Let’s Encrypt pour votre domaine valide et installé sur un de nos serveurs d’hébergement Colossus en formule Ruby :
- Connectez-vous à Plesk (votre espace d’hébergement)
- Dans la barre latérale (à gauche), cliquez sur Sites Web et domaines
- Dans le menu « Sites web et domaines », cliquez sur la rubrique Certificats SSL/TLS pour afficher la page de gestion « Certificat SSL/TLS » liée à votre domaine
- Sous « Aucun certificat installé », cliquez sur le bouton Installer pour Installer un certificat basique gratuit fourni par Let’s Encrypt
- Saisissez une adresse e-mail valide dans la zone pour recevoir les notifications relatives à votre certificat et à son renouvellement. L’adresse mail sera utilisée pour recevoir les notifications urgentes et la récupération d’une clé perdue.
- Sélectionnez ce que vous voulez sécuriser en plus du domaine principal :
Sécuriser le nom de domaine principal. Sécurisez uniquement le domaine principal. Si vous voulez uniquement sécuriser la messagerie Web, vous pouvez décocher la case.
Nous vous conseillons de cocher cette première case pour sécuriser le nom de domaine ainsi que la troisième case « Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné » pour sécuriser le sous-domaine « www » du domaine (par ex. www.domaine.com) ». Ainsi, le certificat SSL protègera votre domaine avec et sans le préfixe www.
Protéger le domaine Wildcard (y compris www et la messagerie Web). Sécurisez tous les sous-domaines *.exemple.com, le sous-domaine www et/ou les alias de domaine et la messagerie Web.
Nous vous conseillons de ne pas cocher cette case, sauf si c’est indispensable, et si vous avez des sous-domaines autres que www et du type blog.domaine.com à sécuriser.
Attention : en cochant cette case, le renouvellement du certificat n’est plus automatique.
Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné. Sécurisez le sous-domaine www et/ou les alias de domaines. Nous vous recommandons de cocher cette case.
Protéger la messagerie Web sur ce domaine. Sécurisez la messagerie Web.
Nous vous recommandons de cocher cette 4ème case pour protéger votre messagerie en ligne « webmail.exemple.com » sur un navigateur.
Assigner le certificat au domaine de messagerie. Sécurisez la messagerie avec le protocole IMAP, POP ou SMTP.
Nous vous conseillons également de protéger le domaine de messagerie (par exemple mail.domaine.com) à l’aide de cette 5ème et dernière case. - Cliquez sur Obtenir gratuitement pour lancer l’installation. Une fois l’installation terminée, vous recevrez un message de confirmation sur l’adresse email renseignée.
NB : Si cela ne fonctionne pas, vérifiez que le nom de domaine est valide et se résout correctement (résolution DNS). Vérifiez les éventuelles redirections mises en place, et si besoin, supprimez-les, installez votre certificat, puis remettez en place vos redirections. Nous vous invitons également à vérifier que le domaine est :
- ● correctement saisi et orthographié
- ● enregistré (whois)
- ● possède une zone et des enregistrements DNS appropriés
- ● est résolu et accessible sur le web
- 8. Enfin, dans la barre latérale gauche, cliquez sur le curseur ‘Rediriger de HTTP vers HTTPS‘ pour activer la redirection automatique de HTTP vers HTTPS.
- Nous vous recommandons d’activer cette fonctionnalité de redirection afin de rediriger systématiquement toutes les urls HTTP vers HTTPS (par exemple http://domain.com vers https://domain.com) à l’aide d’une redirection 301 permanente (SEO vérifié).
Renouvellement de votre certificat
Plesk x SafeBrands renouvelle automatiquement les certificats Let’s Encrypt standards, vous n’avez rien à faire !
La gestion des renouvellements est donc facile, vous n’avez rien à faire. Les certificats SSL gratuits de Let’s Encrypt sont valides pendant 90 jours. Mais Plesk x SafeBrands renouvelle automatiquement vos certificats Let’s Encrypt tous les 2 mois (60 jours), conformément à ce que recommandent les développeurs de Let’s Encrypt. Le système vérifie toutes les 12 heures si les certificats installés sont bien valides.
Attention ! Seul le renouvellement standard est automatique. Le renouvellement Wildcard n’est pas automatique.
Si vous installez un certificat wildcard, à l’aide de la seconde case » Protéger le domaine Wildcard (y compris www et la messagerie Web) *.domaine.com » alors le renouvellement n’est pas automatique car cela nécessite un challenge (mise à jour) DNS que nous n’autorisons pas depuis le serveur par mesure de sécurité. Dans ce cas, il vous faut modifier / ajouter l’enregistrement TXT généré, manuellement dans la zone DNS du domaine, à chaque renouvellement de votre certificat.
_acme-challenge.domain.com 33200 TXT « 6432GdqOdsfdsaKBLsFrmk2tElF1eCL0udGkmlzaIUJjUX8yXixUYUqD5MHaRYOu-uGG »
La case » Protéger le domaine Wildcard (y compris www et la messagerie Web) *.domaine.com » permet de sécuriser plusieurs sites web (domaine et sous-domaines) autres que le domaine principal (domaine.com) et le sous-domaine www.domaine.com, sur le modèle *.domaine.com, comme par exemple test.domaine.com (https://support.safebrands.com/qu-est-ce-qu-un-certificat-wildcard/).
En résumé et en cochant les cases suivantes :
1. » Sécuriser le nom de domaine « ,
3. » Inclure un sous-domaine « www » pour le domaine et chaque alias sélectionné « , et
4. » Protéger la messagerie Web sur ce domaine «
Le certificat standard protège à la fois le site web, racine et www, ainsi que la messagerie sur le webmail.
Reportez-vous aux écrans ci-dessous pour vous aider :
Autres liens d’assistance documentation Plesk :
• Sécuriser les connexions avec l’extension SSL It! (Plesk Obsidian)
• https://docs.plesk.com/fr-FR/onyx/administrator-guide/extensions-de-plesk/let%E2%80%99s-encrypt.78749/
• https://www.plesk.com/blog/product-technology/lets-encrypt-free-ssl-certificate/
• https://docs.plesk.com/fr-FR/onyx/administrator-guide/administration-de-plesk/prot%C3%A9ger-plesk/s%C3%A9curiser-plesk-et-le-serveur-de-messagerie-avec-des-certificats-ssltls.59466/