====== Obtenir le certificat intermédiaire Gandi ======

Pour que les internautes qui visitent votre site protégé par un certificat SSL Gandi avec un navigateur ancien (< 2010) et non mis à jour puissent reconnaitre celui-ci, il est nécessaire de récupérer le certificat intermédiaire fourni par Gandi afin que votre certificat soit reconnu comme émis par une Autorité de Certification approuvée. 









===== Téléchargement du certificat intermédiaire =====

Le certificat intermédiaire Gandi est différent pour un certificat de la gamme Standard et un certificat de la gamme Pro ou encore de la gamme Business.

Ce certificat intermédiaire devra ensuite être installé sur le serveur hébergeant le site répondant à l'adresse protégé, de la même façon que le certificat qui vous a été délivré.

==== Certificats intermédiares SHA1 ====

IMPORTANT : **__Si votre certificat expire après le 01/01/2017, merci de choisir l'intermédiaire SHA2 plus bas__**

<del>  * Si vous avez un **certificat Standard** et que vous souhaitez récupérer le certificat intermédiaire Gandi, \\ [[http://crt.gandi.net/GandiStandardSSLCA.crt|pour le format DER]] ou [[https://www.gandi.net/static/CAs/GandiStandardSSLCA.pem|ici pour le format PEM]].
Cliquez droit, et enregistrez la cible du lien sous.
  * Si vous avez un **certificat Pro** et que vous souhaitez récupérer le certificat intermédiaire Gandi :\\
        * Non SGC :  [[http://crt.gandi.net/GandiProSSLCA.crt| pour le format DER]] ou [[https://www.gandi.net/static/CAs/GandiProSSLCA.pem|pour le formatPEM]]. \\
        *  SGC :  [[https://www.gandi.net/static/CAs/GandiSGCSSLCA.pem|pour le format PEM]]\\
Cliquez droit, et enregistrez la cible du lien sous. \\
</del>
==== Certificats intermédiaires SHA2 ====
  * Si vous avez un **certificat Standard** et que vous souhaitez récupérer le certificat intermédiaire Gandi, \\ [[http://crt.gandi.net/GandiStandardSSLCA2.crt|pour le format DER]] ou [[https://www.gandi.net/static/CAs/GandiStandardSSLCA2.pem|ici pour le format PEM]].
Cliquez droit, et enregistrez la cible du lien sous. \\
  * Si vous avez un **certificat Pro** et que vous souhaitez récupérer le certificat intermédiaire Gandi :\\
        * [[http://crt.gandi.net/GandiProSSLCA2.crt| pour le format DER]] ou [[https://www.gandi.net/static/CAs/GandiProSSLCA2.pem|pour le formatPEM]]. \\
Cliquez droit, et enregistrez la cible du lien sous. \\


==== Certificat Cross Signed Comodo ====

<note important> 
Tous les navigateurs n'ont pas encore implémenté le Root CA pour les certificats en SHA2. Ainsi, il peut etre nécessaire d'ajouter le certificat cross signed ci-dessous sur votre serveur afin que le client puisse vérifier la chaine de certification. L'installation de ce certificat dépend du logiciel utilisé. Les versions récentes de Chrome supporte d'ores et déjà les certificats en SHA2, Mozilla est en train de l'ajouter dans les dernières versions de Firefox (voir le rapport https://bugzilla.mozilla.org/show_bug.cgi?id=634074) ainsi que certaines distributions. Nous vous conseillons tout de meme d'ajouter le certificat cross signed sur votre serveur afin de diminuer les risques d'incompatibilité pour vos clients.
</note>

Vous pouvez télécharger le certificat au format DER à l'adresse suivante : http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt ou bien le récupérer au format PEM ci-dessous :

<code>
-----BEGIN CERTIFICATE-----
MIIFdzCCBF+gAwIBAgIQE+oocFv07O0MNmMJgGFDNjANBgkqhkiG9w0BAQwFADBv
MQswCQYDVQQGEwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFk
ZFRydXN0IEV4dGVybmFsIFRUUCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBF
eHRlcm5hbCBDQSBSb290MB4XDTAwMDUzMDEwNDgzOFoXDTIwMDUzMDEwNDgzOFow
gYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtK
ZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYD
VQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIICIjAN
BgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sIs9CsVw127c0n00yt
UINh4qogTQktZAnczomfzD2p7PbPwdzx07HWezcoEStH2jnGvDoZtF+mvX2do2NC
tnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR1GJk23+jBvGIGGqQIjy8/hPwhxR79uQf
jtTkUcYRZ0YIUcuGFFQ/vDP+fmyc/xadGL1RjjWmp2bIcmfbIWax1Jt4A8BQOujM
8Ny8nkz+rwWWNR9XWrf/zvk9tyy29lTdyOcSOk2uTIq3XJq0tyA9yn8iNK5+O2hm
AUTnAU5GU5szYPeUvlM3kHND8zLDU+/bqv50TmnHa4xgk97Exwzf4TKuzJM7UXiV
Z4vuPVb+DNBpDxsP8yUmazNt925H+nND5X4OpWaxKXwyhGNVicQNwZNUMBkTrNN9
N6frXTpsNVzbQdcS2qlJC9/YgIoJk2KOtWbPJYjNhLixP6Q5D9kCnusSTJV882sF
qV4Wg8y4Z+LoE53MW4LTTLPtW//e5XOsIzstAL81VXQJSdhJWBp/kjbmUZIO8yZ9
HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10Yy+xUGUJ5lhCLkMaTLTwJUdZ
+gQek9QmRkpQgbLevni3/GcV4clXhB4PY9bpYrrWX1Uu6lzGKAgEJTm4Diup8kyX
HAc/DVL17e8vgg8CAwEAAaOB9DCB8TAfBgNVHSMEGDAWgBStvZh6NLQm9/rEJlTv
A73gJMtUGjAdBgNVHQ4EFgQUU3m/WqorSs9UgOHYm8Cd8rIDZsswDgYDVR0PAQH/
BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wEQYDVR0gBAowCDAGBgRVHSAAMEQGA1Ud
HwQ9MDswOaA3oDWGM2h0dHA6Ly9jcmwudXNlcnRydXN0LmNvbS9BZGRUcnVzdEV4
dGVybmFsQ0FSb290LmNybDA1BggrBgEFBQcBAQQpMCcwJQYIKwYBBQUHMAGGGWh0
dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wDQYJKoZIhvcNAQEMBQADggEBAJNl9jeD
lQ9ew4IcH9Z35zyKwKoJ8OkLJvHgwmp1ocd5yblSYMgpEg7wrQPWCcR23+WmgZWn
RtqCV6mVksW2jwMibDN3wXsyF24HzloUQToFJBv2FAY7qCUkDrvMKnXduXBBP3zQ
YzYhBx9G/2CkkeFnvN4ffhkUyWNnkepnB2u0j4vAbkN9w6GAbLIevFOFfdyQoaS8
Le9Gclc1Bb+7RrtubTeZtv8jkpHGbkD4jylW6l/VXxRTrPBPYer3IsynVgviuDQf
Jtl7GQVoP7o81DgGotPmjw7jtHFtQELFhLRAlSv0ZaBIefYdgWOWnU914Ph85I6p
0fKtirOMxyHNwu8=
-----END CERTIFICATE-----
</code>

Pour l'utiliser, il faudra le concaténer au certificat intermédiaire Gandi SHA2.\\
Par exemple :\\
<code>
-----BEGIN CERTIFICATE-----
XXXXXXXXX   <- certificat intermédiaire
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXX   <- certificat cross-signed 
-----END CERTIFICATE-----
</code>
Ensuite avec  Apache2 par exemple, il vous suffira de  spécifier la localisation de ce fichier au moyen de la directive [[http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatechainfile|SSLCertificateChainFile]].\\
Vous n'aurez plus besoin, dans ce cas,  de la directive [[http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcacertificatefile|SSLCAcertificatefile]].
====== Voir aussi ======
  * [[https://www.gandi.net/ssl/documentation|Gandi.net documentation SSL]]