Définition
Afin d’obtenir un certificat SSL ou un cachet serveur, il est nécessaire de générer une demande de signature de certificats ou une CSR (Certificate Signing Request).
Une CSR (aussi appelé PKCS#10) est un message envoyé à partir d’un demandeur à une autorité de certification afin de demander un certificat d’identité numérique.
Avant de générer une CSR, le demandeur crée une paire de clés (une publique et une privée) en gardant la clé privée secrète. La CSR contient des informations d’identification du demandeur et la clé publique choisie par le demandeur.
Lorsque la demande est acceptée, l’Autorité de Certification retourne un certificat d’identité signé numériquement avec la clé privée de l’Autorité de Certification.
Informations présentes dans une CSR
| Informations | Description |
|---|---|
| Common Name (N=) | Nom du serveur |
| Nom de l'entreprise / Organisation (O=) | Le nom d’une société ou d’une association légalement constituée |
| Unité Organisationnelle (OU=) | 0002 + Numéro SIREN |
| Localité (L=) | Par exemple : Londres, Paris |
| Province, Région ou Etat (S=) | Par exemple : Normandie, Ile-de-France |
| Pays (C=) | Le code à deux lettres ISO pour le pays ou est situé l’organisme |
| Adresse e-mail | Pour contacter l’organisation (généralement celle de l’administrateur de certificats) |
Longueur de la clé
Dans le cadre de l’obtention d’un certificat Cachet Serveur, votre clé privée doit avoir une longueur requise de 2048 bits. Il s’agit donc d’une clé de type RSA 2048 Bits.
S’assurer de la sécurité de la clé privée
- Utilisez la version la plus récente de votre outil de génération de clé. Cela vous permettra d’éviter les vulnérabilités des processus de génération de clé plus anciens.La sécurité du processus de génération de clé dépend de la qualité des nombres aléatoires utilisés pour générer la clé. Les systèmes
- intégrés peuvent produire une série de nombres prévisibles. Si vous n’êtes pas certain de la qualité des nombres utilisés par votre machine, utilisez une autre machine.Quiconque possède une copie de votre
- clé privée peut se faire passer pour votre serveur. Assurez-vous d’utiliser un mot de passe ou une liste de contrôle d’accès ou pour protéger l’accès à votre clé privée.
Algorithme de signature
Selon les exigences du cahier des charges RGS, l’algorithme de signature de la CSR doit être en SHA256 (SHA 256withRSA).
Nous attirons votre attention sur le point suivant : aucun certificat Cachet Serveur ne pourra être généré si la demande de CSR ne respecte pas cet algorithme de signature.