Vous êtes en train d’installer un certificat SSL sur votre serveur et vous vous retrouvez soudain bloqué. La configuration demande un fichier

Les offres groupées de CA ne sont pas compliquées une fois que vous avez compris ce qu’elles font. Dans ce guide, nous verrons exactement ce qu’est un ensemble de CA, pourquoi votre serveur en a besoin et comment en créer ou en obtenir un en quelques minutes seulement. À la fin de ce guide, vous serez en mesure de manipuler les regroupements de CA en toute confiance et d’éviter les erreurs frustrantes du type « certificat non approuvé ».
Table des matières
- Qu’est-ce qu’une offre groupée de CA ?
- L’importance de l’offre groupée d’AC pour la sécurité SSL
- Comment obtenir votre offre groupée CA
- Comment créer un ensemble de CA
- Vérification de votre regroupement d’autorités de certification
- Installation de l’ensemble CA sur votre serveur
- Problèmes courants liés à l’offre groupée de CA et solutions
- Meilleures pratiques de l’offre groupée de CA
Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !
Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10
Qu’est-ce qu’une offre groupée de CA ?
Un ensemble CA est un fichier unique qui contient les certificats intermédiaires et les certificats racine de votre autorité de certification. Associé au certificat de votre serveur, il complète la chaîne de confiance de votre certificat SSL, c’est-à-dire la séquence de certificats que les navigateurs utilisent pour vérifier la légitimité de votre site.
Pensez-y de la manière suivante : le certificat de votre serveur indique « Je suis exemple.com », mais les navigateurs ont besoin d’une preuve. L’ensemble CA fournit cette preuve en montrant le chemin de confiance depuis votre certificat jusqu’à un certificat racine auquel les navigateurs font déjà confiance.
La plupart des certificats SSL nécessitent un ensemble d’AC (la principale exception étant les certificats au format PKCS#7, qui incluent déjà l’ensemble). Sans cet ensemble, les navigateurs ne peuvent pas vérifier l’authenticité de votre certificat, ce qui entraîne des avertissements de sécurité qui font fuir les visiteurs.
Composants de l’offre groupée de CA
Un ensemble d’AC typique contient deux types de certificats :
- Certificats intermédiaires. Il s’agit de certificats émis par l’autorité de certification pour combler le fossé entre le certificat de votre serveur et le certificat racine. Les grandes autorités de certification comme Sectigo et DigiCert utilisent souvent plusieurs intermédiaires pour répartir la charge de travail liée à la signature des certificats et gérer différents types de certificats.
- Certificats racine. Il s’agit des certificats de premier niveau de la chaîne de confiance. Les navigateurs et les systèmes d’exploitation sont préchargés avec des certificats racine provenant d’autorités de certification de confiance. Lorsqu’un navigateur voit un certificat racine qu’il reconnaît, il sait que toute la chaîne de certificats est valide.
The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.
La chaîne de confiance des certificats
Voici comment la chaîne de certificats SSL fonctionne en pratique :
- Certificat de serveur (certificat de votre site web) – Contient votre nom de domaine et votre clé publique.
- Certificat(s) intermédiaire(s) (de l’ensemble des CA) – Signé par la CA racine, il signe votre certificat.
- Certificat racine (de l’ensemble d’AC) – Confiance préalable des navigateurs et des systèmes d’exploitation

Lorsqu’un internaute visite votre site via HTTPS, son navigateur effectue une transaction SSL. Au cours de ce processus, le navigateur valide chaque maillon de la chaîne, en commençant par le certificat de votre serveur et en remontant jusqu’à une racine de confiance. C’est l’infrastructure à clé publique (PKI ) en action.
Si l’un des maillons de cette chaîne est manquant – généralement parce que l’ensemble CA n’a pas été installé – le navigateur ne peut pas terminer la validation. Le résultat ? Des avertissements de sécurité tels que « Votre connexion n’est pas privée » ou « Le certificat n’est pas fiable ».
L’importance de l’offre groupée d’AC pour la sécurité SSL
L’ensemble CA remplit plusieurs fonctions essentielles qui ne se limitent pas à faire apparaître l’icône du cadenas.
Compatibilité avec les navigateurs
Différents navigateurs et systèmes d’exploitation gèrent différentes listes de confiance de certificats. Votre offre groupée d’AC garantit la compatibilité entre les navigateurs de bureau, les appareils mobiles, les clients de messagerie et les outils API. Ceci est particulièrement important pour les anciennes versions de navigateurs qui peuvent ne pas disposer des certificats intermédiaires les plus récents.
Protection contre les menaces de sécurité
Un ensemble d’autorités de certification correctement configuré permet d’éviter les attaques de type « man-in-the-middle » en vérifiant l’authenticité des certificats à plusieurs niveaux. La chaîne de certificats rend la falsification presque impossible, car chaque certificat est signé cryptographiquement par celui qui lui est supérieur.
Répondre aux exigences de conformité
De nombreux secteurs d’activité exigent une configuration SSL/TLS appropriée :
- La norme PCI DSS exige une transmission sécurisée des données des titulaires de cartes.
- Le GDPR impose des mesures de sécurité appropriées pour les données personnelles
- L’HIPAA exige une communication sécurisée pour les informations relatives aux soins de santé
Un ensemble d’autorités de certification manquant ou mal configuré peut vous rendre non conforme, même si votre certificat est valide.
Comment obtenir votre offre groupée CA
Il n’est pas nécessaire de créer un ensemble CA à partir de zéro à chaque fois. Voici les principales façons d’en obtenir un :
1. Depuis votre autorité de certification
Lorsque vous achetez un certificat SSL auprès de fournisseurs tels que Sectigo, DigiCert ou GeoTrust, ils fournissent généralement l’ensemble CA avec votre certificat de serveur. Pour les clients de SSL Dragon, vous trouverez votre ensemble d’autorité de certification dans votre tableau de bord de certificats juste après l’émission.
2. Télécharger à partir des dépôts officiels de l’autorité de certification
La plupart des grandes autorités de certification disposent de dépôts publics où vous pouvez télécharger des certificats racine et intermédiaires. Sectigo, DigiCert, Let’s Encrypt et d’autres autorités de certification publient leurs chaînes de certificats sur leurs sites d’assistance.
3. Extrait du magasin de certificats
Les systèmes d’exploitation gèrent des magasins de certificats auxquels vous pouvez accéder :
- Windows: Utilisez certmgr.msc pour accéder au gestionnaire de certificats.
- Linux/macOS: Répertoire /etc/ssl/certs/
Comment créer une offre groupée de CA (Guide étape par étape)
Il est parfois nécessaire de créer manuellement un ensemble d’autorités de certification, car vous n’avez peut-être reçu que des fichiers de certificats individuels. Voici comment procéder correctement.
Conditions préalables
Avant de commencer, assurez-vous d’avoir
- Votre (vos) fichier(s) de certificat intermédiaire(s)
- Votre fichier de certificat racine
- Un éditeur de texte (Notepad++, nano, vim, ou même Notepad de base)
Méthode 1 : Utilisation d’un éditeur de texte
Cette méthode fonctionne sur n’importe quelle plateforme et ne nécessite aucune expertise technique.
Étape 1 : Localisez vos fichiers de certificats
Recherchez les fichiers de certificats fournis par votre autorité de certification. Vous recherchez les certificats intermédiaire et racine, et non le certificat de votre serveur. Les fichiers portent généralement des extensions telles que .crt, .pem ou .cer.
Étape 2 : Ouvrir chaque certificat
Ouvrez votre certificat intermédiaire dans un éditeur de texte. Vous verrez un contenu comme :
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----
Les parties importantes sont l’en-tête —–BEGIN CERTIFICATE—– et le pied de page —–END CERTIFICATE—–. Assurez-vous qu’ils sont tous deux présents et complets.
Étape 3 : Créer votre fichier d’offre groupée
Créez un nouveau fichier vierge dans votre éditeur de texte. Nommez-le yourdomain.ca-bundle ou ca-bundle.crt. L’extension n’a pas beaucoup d’importance : vous pouvez utiliser .pem, .crt ou .ca-bundle.
Étape 4 : Copier les certificats dans le bon ordre
C’est l’étape critique. L’ordre doit être :
- Premièrement: votre certificat intermédiaire (celui qui a signé directement le certificat de votre serveur)
- Deuxièmement: tous les certificats intermédiaires supplémentaires (si vous en avez plusieurs)
- Dernier: le certificat racine
Copiez intégralement chaque certificat, y compris les lignes BEGIN et END. N’ajoutez pas d’espaces ou de lignes vides entre les certificats.
Voici à quoi ressemble un ensemble CA correct :
-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----
Étape 5 : Enregistrer le fichier
Enregistrez votre fichier avec le codage UTF-8. Vérifiez que chaque certificat commence par —–BEGIN CERTIFICATE—– et se termine par —–END CERTIFICATE—– sans espace supplémentaire.
Méthode 2 : Utilisation de la ligne de commande
Si vous êtes à l’aise avec la ligne de commande, vous pouvez créer un ensemble CA en quelques secondes.
Linux/macOS:
cat intermediate.crt root.crt > ca-bundle.crt
Invite de commande Windows:
copy /b intermediate.crt + root.crt ca-bundle.crt
Ces commandes concaténent les fichiers de certificats dans l’ordre. Veillez à les énumérer dans le bon ordre : d’abord les certificats intermédiaires, puis le certificat racine.
Les erreurs courantes à éviter
- Mauvais ordre des certificats – L’erreur la plus courante consiste à placer le certificat racine en premier.
- Espace blanc supplémentaire – N’ajoutez pas de lignes blanches entre les certificats.
- En-têtes manquants – Copiez l’intégralité du bloc de certificats, y compris les lignes BEGIN/END.
- Inclure le certificat de votre serveur – L’ensemble CA ne doit contenir que des certificats intermédiaires et des certificats racine.
Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !
Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10
Vérification de votre regroupement d’autorités de certification
Avant d’installer votre ensemble CA sur un serveur de production, vérifiez qu’il est correct.
Utilisation d’OpenSSL
OpenSSL est l’outil standard pour travailler avec des certificats SSL :
openssl verify -CAfile ca-bundle.crt your-server-certificate.crt
Si tout est correct, vous verrez :
your-server-certificate.crt: OK
En cas de problème, OpenSSL vous indiquera ce qui ne va pas, comme des certificats manquants ou une commande incorrecte.
Utiliser des outils de vérification du SSL en ligne
SSL Dragon offre un outil de vérification SSL gratuit qui valide votre chaîne de certificats. Une fois votre certificat installé, l’outil :
- Afficher la chaîne de certificats complète
- Identifiez les certificats intermédiaires manquants
- Vérifiez les dates d’expiration des certificats
- Testez la compatibilité entre les différents navigateurs
Installation de l’ensemble CA sur votre serveur
La procédure d’installation varie selon la plate-forme. En voici un bref aperçu :
Apache. Utilisez la directive SSLCertificateChainFile:
SSLCertificateChainFile /path/to/ca-bundle.crt
Nginx. Spécifiez le certificat de confiance :
ssl_trusted_certificate /path/to/ca-bundle.crt;
cPanel/WHM. Utilisez l’interface web pour coller votre ensemble d’autorités de certification dans le champ « Ensemble d’autorités de certification ».
IIS (Windows Server). Importez les certificats intermédiaires vers les « Autorités de certification intermédiaires » et les certificats racine vers les « Autorités de certification racine de confiance » à l’aide du gestionnaire de certificats.
Pour obtenir des guides d’installation détaillés spécifiques à votre environnement serveur, consultez la documentation d’installation de SSL Dragon.
Problèmes courants liés à l’offre groupée de CA et solutions
Problème 1 : Erreur « Chaîne de certificats incomplète ».
Symptômes : Les outils de test SSL signalent l’absence d’un certificat intermédiaire ou certains navigateurs affichent des avertissements.
Solution : Téléchargez l’ensemble des certificats sur le site web de votre autorité de certification. Vérifiez que vous avez inclus TOUS les certificats intermédiaires, et non un seul. Vérifiez que l’ordre est correct.
Problème 2 : Mauvais ordre de certificat
Symptômes : Erreurs de validation du certificat ou avertissements SSL intermittents dans les navigateurs.
Solution : Réorganisez vos certificats de manière à ce que celui qui a signé le certificat de votre serveur vienne en premier, et le certificat racine en dernier. Sauvegardez et téléchargez à nouveau sur votre serveur.
Problème 3 : Confusion du format PKCS#7
Symptômes : Vous avez reçu un fichier .p7b et vous n’êtes pas sûr d’avoir besoin d’un ensemble CA.
Solution : Les fichiers PKCS#7 (.p7b) comprennent déjà l’ensemble CA. Il n’est pas nécessaire d’en créer un autre. Si votre serveur exige le format PEM, convertissez-le :
openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem
Problème 4 : Certificat intermédiaire expiré
Symptômes : Erreurs SSL soudaines sur un site qui fonctionnait auparavant.
Solution : Téléchargez la dernière version de l’offre groupée de l’autorité de certification (CA Bundle) auprès de votre autorité de certification. Les principales autorités de certification publient des intermédiaires mis à jour avant que les anciens n’expirent. Remplacez votre ancien ensemble par le nouveau.
Meilleures pratiques de l’offre groupée de CA
- Conservez des copies de sauvegarde – Conservez le certificat de votre serveur, la clé privée et le Bundle de l’autorité de certification dans un endroit sûr. Vous en aurez besoin si vous changez de serveur ou si vous réinstallez.
- Utilisez uniquement les sources officielles – Obtenez toujours votre ensemble d’autorités de certification sur le site officiel de votre autorité de certification. Les référentiels tiers peuvent être obsolètes ou compromis.
- Surveillez les dates d’expiration – Les certificats racine et intermédiaire expirent également. Définissez des rappels pour vérifier les mises à jour de l’autorité de certification.
- Test avant la production – Testez d’abord les nouvelles configurations dans un environnement d’essai. Utilisez les outils de test SSL pour vérifier que tout fonctionne avant de passer à la production.
- Documentez votre installation – Prenez note des certificats que vous utilisez, de l’endroit où ils sont installés et des dates de renouvellement. Vous l’apprécierez à l’avenir.
FAQ sur l’offre groupée de CA
Puis-je générer automatiquement un ensemble CA ?
Non. Contrairement à une CSR, que vous générez vous-même, un regroupement de CA doit provenir de votre autorité de certification. Vous pouvez en créer un manuellement en combinant les certificats qu’elle vous fournit.
Quelle est la différence entre un regroupement d’autorités de certification et une chaîne de certificats ?
L’ensemble CA ne contient que les certificats intermédiaire et racine. La chaîne de certificats complète comprend le certificat de votre serveur et l’ensemble de certificats de l’autorité de certification.
Tous les certificats nécessitent-ils un regroupement d’autorités de certification ?
La plupart des certificats SSL/TLS en nécessitent un. La principale exception concerne les certificats au format PKCS#7 (fichiers .p7b), qui incluent les intermédiaires dans le fichier lui-même.
L’ensemble d’autorités de certification est-il le même pour tous les certificats d’une autorité de certification ?
En général, oui. Les certificats de même type (DV, OV ou EV) provenant de la même autorité de certification utilisent généralement les mêmes certificats intermédiaires.
Obtenez votre certificat SSL avec l’offre groupée de CA sans souci de SSL Dragon
La mise en place de certificats SSL ne doit pas être compliquée. SSL Dragon fournit tout ce dont vous avez besoin pour une installation en douceur, y compris des lots d’AC préconfigurés, des guides d’installation détaillés et une assistance d’experts.
Pourquoi les clients de SSL Dragon évitent les maux de tête liés au regroupement des CA :
✓ Paquets d’installation complets – Certificat de serveur, clé privée et CA Bundle ensemble
✓ Paquets pré-validés – Tous les certificats sont testés avant livraison
✓ Assistance d’experts 24/7 – De vraies personnes qui comprennent SSL
✓ Délivrance rapide – Certificats validés par domaine en seulement 5 minutes
✓ Compatibilité universelle – Reconnaissance de 99,99 % des navigateurs
✓ Garantie de remboursement de 25 jours – Essayez sans risque
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10






