CloudFlare

Si vous désirez positionner votre site derrière CloudFlare, vous devez utiliser leurs serveurs DNS (sauf versions entreprise).

Cette documentation est à destination des personnes qui :

  • ont ajouté leur site sur CloudFlare
  • ont configurés les serveurs DNS comme demandé par CloudFlare
  • ont ajouté leur domaine sur leur hébergement dans iWal et activé la publication web

Des erreurs ?

Attention à la configuration

La configuration SSL par défaut de CloudFlare peut ne pas fonctionner chez YULPA !

CloudFlare par défaut est configuré pour envoyer les requêtes chez YULPA en HTTPS. Deux possibilités alors :

  • votre site était chez YULPA avant de mettre en place CloudFlare et vous aviez un certificat SSL valide : cela fonctionnera tant que le certificat est valide chez YULPA ; 
  • votre site n'était pas chez YULPA ou n'avait pas de certificat SSL : cela ne fonctionnera pas.

Un exemple de site mal configuré qui ne peut fonctionner (certificat SSL chez CloudFlare mais pas de certificat chez YULPA) : 

Nous avons donc réalisé ce guide pour vous permettre d'utiliser CloudFlare avec le niveau maximal de sécurité. 

Sommaire



Mise en place de CloudFlare

Les modes de publication proposés par CloudFlare

ModeFonctionnementEn image (sourire) Utilisation chez YULPAConfiguration nécessaire

Désactivé (non sécurisé)

Pas de chiffrement appliqué.

Possible

FORTEMENT DÉCONSEILLÉ

Publication du site web chez YULPA doit être définie à "HTTP uniquement".
Flexible

Chiffre le trafic entre le navigateur et Cloudflare.

Possible

DÉCONSEILLÉ

Publication du site web chez YULPA doit être définie à "HTTP uniquement".

Complet

Par défaut chez CloudFlare

Procède à un chiffrement de bout en bout à l’aide d’un certificat auto-signé du serveur, ou un certificat valide (non obligatoire).

Possible

Nécessite une configuration de votre part.

Publication du site web chez YULPA doit être définie à "HTTPS uniquement".


Vous devez créer et importer un certificat SSL (auto-signé ou non) chez YULPA.

Complet (Strict)

Procède à un chiffrement de bout en bout, mais requiert un certificat d’une autorité de certification approuvée ou signé par une autorité de certification d’origine de Cloudflare sur le serveur.


ATTENTION : ce mode ne fonctionne que si un certificat valide est chez YULPA. Il assure un maximum de sécurité.

Possible 

Nécessite une configuration de votre part.

CONSEILLÉ

Publication du site web chez YULPA doit être définie à "HTTPS uniquement".


Vous devez importer un certificat SSL acheté ou importer celui généré par CloudFlare (voir ci-dessous) (sourire) 

Mise en place du mode complet (strict)

La mise en place du mode complet (strict) se compose de plusieurs étapes : 

  • l'activation du mode strict chez CloudFlare ; 
  • l'importation du certificat chez YULPA

Vous n'êtes pas obligé d'appliquer le mode "Complet Strict" chez CloudFlare, vous pouvez tout à faire suivre cette procédure et rester en mode "Complet".

Connectez vous au panel de gestion de CloudFlare puis sélectionnez le domaine sur lequel vous souhaitez travailler.

Côté CloudFlare


Cliquez sur le bouton "SSL/TLS" dans le menu du haut

Par défaut, le site est configuré sur "Complet", nous allons donc activer le mode "Complet (strict)".

Cette action est facultative, le mode "Complet" peut être conservé. Pour plus de sécurité nous conseillons le "Complet (Strict)".

Nous allons ensuite cliquer sur "Serveur d'origine" dans le menu horizontal en haut (menu de sous-section)

Nous allons ensuite cliquer sur le bouton "Créer un certificat", ce qui ouvre un popup. 

  • Vous avez la possibilité d'utiliser votre propre clé privé et CSR, dans le cas de la documentation nous faisons au plus simple, ce qui couvre la majorité des cas, nous laissons CloudFlare générer ces éléments.
  • Vous devez indiquer les noms d'hôtes à couvrir. Par défaut CloudFlare vous propose de couvrir *.domaine.tld et domaine.tld ce qui est suffisant dans la majorité des cas. Si vous avez besoin de couvrir plus de sous-sous-domaine (car le wildcard ne couvre que le premier niveau), vous devez l'indiquer.
  • Concernant la durée du certificat, nous vous invitons, comme CloudFlare à sélectionner la durée maximale. Vous allez devoir importer ce certificat chez YULPA, si vous sélectionnez une durée courte, le certificat sera alors à remplacer plus souvent, manuellement sur iWal.

Vous allez devoir récupérer le certificat et la clé. Laissez le format "PEM (par défaut)". 

Copiez et enregistrez le certificat et sa clé. N'insérez AUCUN caractère supplémentaire ou retour à la ligne.

ATTENTION : le certificat peut-être téléchargé à tout moment, la clé ne peut pas être récupérée une fois le wizard fermé.

Cliquez sur OK lorsque vous avez récupéré les deux.

Côté iWal


Connectez vous sur iWal et allez dans les paramètres de gestion SSL.

Pour s'y rendre : 

  • se connecter à iWal : https://my.yulpa.io 
  • aller dans la partie Service du menu
  • cliquer sur le service Hébergement où votre domaine est présent
  • aller dans la partie Publication web
  • là vous pouvez au choix :
    • aller sur le domaine web et utiliser le bouton bleu "Importer un certificat" en bas à droite 
    • aller dans la section Dépôt certificats SSL et utiliser le bouton bleu "Importer un certificat" présent en haut à droite.

Nous allons aller sur le domaine, notez que le popup d'ajout est le même. Sur le domaine nous pourrons en profiter pour vérifier le mode de publication. 

Nous cliquons sur le bouton bleu "Importer un certificat", ce qui nous ouvre un popup et insérons le certificat et la clé puis nous validons.

Une fois le certificat importé, vous  pouvez voir que iWal vous indique que le site est couvert par "CloudFlare Origin Certificate".

Concernant le mode de publication, vous pouvez laisser "HTTP redirige sur HTTPS" car CloudFlare n'enverra que sur HTTPS. Vous pouvez aussi définir à "HTTPS uniquement", ce mode est indiqué comme déconseillé mais dans le cas où vous utilisez CloudFlare en frontal vous pouvez l'utiliser sans problème (sourire) 

Il ne nous reste plus qu'à tester notre site, il ne doit plus y avoir d'erreur (sourire)