SSL simple 1 adresse gratuit avec un nouveau nom de domaine Gandi

J'ai acheté un nouveau nom de domaine en .xyz, ai lié www.domain.xyz à un des vhosts de test drupal (un sous domaine de mon domaine principal) de mon instance Simple Hosting.
Puis créé l'email en admin@domaine.xyz

Pour activer le certificat gratuit lié à ce nouveau .xyz, il faut aller l'acheter (si si!), le valider puis l'attribuer. En cas de révocation d'un certificat créé (et s'il n'apparait plus dans la liste des certificats), repasser par https://www.gandi.net/ssl.

1. acheter gratuitement

Aller sur la page de gestion des domaines (www.gandi.net/admin/domaine/detail/1234567) et simuler un achat (12 euro) en cliquant sur Certificat SSL: Inactif (Acheter), choisir SSL Standard, jusqu'à avoir l'écran "Insertion de la CSR" suivant (passer par l'onglet SSL / Achat -> réel achat de 12 euro).

Le montant du panier passera plus tard à 0, lorsque Gandi va vérifier le panier (il faut donc bien cliquer sur "payer par virement banquaire" par ex).

Le générateur de CSR apparait en petit, en bas de CRS.
Ouvrir le générateur dans un autre onglet, utiliser un client SSH pour générer les clefs .key et .csr, tout en gardant cette page ouverte (sinon, on la cherche).
Rappel: La clé privée .key sert à créer la Certificate Signing Request, il faut l'achiver en double car c'est la clé privée.
Entrer son (nouveau) nom de domaine dans CN.

Valider.

2. La validation

On recoit un 1er email (de mail_support_certificate@mailer2.gandi.net) "procédure de validation de votre certificat SSL Standard" puis un 2nd email, qui confirme l'achat d'un certificat, sur l'email du compte client "contact" Gandi (et non ceux des domaines achetés).
Le 1er explique qu'on a le choix entre email, DNS et texte, et donne une URL qui sert à voir où en est le "Processus de validation de certificat SSL", de la forme https://www.gandi.net/admin/ssl/steps/12345678.

Etape 2 : un 3e email, de noreply@trust-provider.com, est envoyé sur admin@domaine.xyz pour valider les droits sur les domaines (l'email ne parle que de www.bourdiol.xyz). Il comporte un lien vers le site secure.comodo.com et le code qu'il faut y entrer.

Enfin, étape 3 : validation finale et attribution du certificat (page en ssl/steps/12345678)

Il faut attendre un peu après avoir recu les emails, la page https://www.gandi.net/admin/ssl/steps/12345678 ne propose pas de lien pour travailler (à part une page d'aide).
Mais on recoit rapidement un email "Confirmation d'activation" qui lui, comporte un lien vers le certificat https://www.gandi.net/admin/ssl/123456/details, et avec la mention :

ATTENTION : Dans le cas d'une re-génération de certificat (par opposition à l'achat d'un nouveau certificat) vous avez 48 heures une fois celui-ci délivré pour le remplacer sur votre infrastructure. Une fois ce délai dépassé le certificat remplacé sera automatiquement révoqué.

Et le certificat apparait sur l'onglet SSL https://www.gandi.net/admin/ssl/manage avec les liens : regénérer la CRS, révoquer et Récupérer le certificat (ouvre fenetre pour dl le certificat et l'intermédiaire).

On voit que le certificat protège www.bourdiol.xyz et bourdiol.xyz

La page de Suivi de validation du certificat (en admin/ssl/steps/12345678) indique qu'il reste à l'attribuer. Le whois indique pour DNSSEC: Unsigned

3. Attribuer le certificat à un vhost

Aller dans la partie vhost de son instance, clic sur le cadenas pour coller le .CRT et le .key

J'ai essayé d'ajouter les .pem au CRT : KO.
Via sFTP: pas de /etc/ssl, rien n'a changé sous /lamp0/etc/ (un /.ssh/authorized_keys est apparu, mais c'est le ssh-rsa de mon client).

Le test digicert indique

Outils de test sur le web

Vérifier l'install d'un certificat à https://www.digicert.com/help/ et https://www.ssllabs.com/ssltest/index.html (affiche plus d'infos, comme Handshake Simulation par clients, penser à cocher la case "ne pas publiquer sur le boad"
Possibilités des user-agent à https://www.ssllabs.com/ssltest/clients.html et tester son client à https://www.ssllabs.com/ssltest/viewMyClient.html