Générer une CSR
Dans un souci de performance te de simplicité, nous vous recommandons d’utiliser OpenSSL afin de constituer votre CSR.
Pour générer les clés sur OpenSSL
- OpenSSL est utilisé pour générer à la fois la clé privée et la demande de signature de certificat (CSR). OpenSSL est généralement installé à l’emplacement /usr/local/ssl/bin. Si votre configuration est personnalisée, il vous faudra adapter ces instructions de façon appropriée.
- Dans la ligne de commande, entrer les données suivantes : openssl genrsa -des3 -out key private/SERVEUR.key 2048
Remarque : si vous ne souhaitez pas utiliser de mot de passe (passphrase), supprimer la commande «-des3 ». Cependant, cette action implique que la clé privée ne sera pas protégée. - Choisir votre mot de passe (passphrase) PEM
- Cette action va générer une clé privée RSA 2048 bits et la sauvegarder dans le fichier key private/SERVEUR.key.
Pour générer la CSR sur OpenSSL
1. Dans la ligne de commande, entrer les données suivantes : openssl req- sha256 -new -key private/SERVEUR.key -out certs/SERVER.csr
Remarque 1 : si vous avez conservé «-des3 » dans la ligne de commande, il vous sera demandé d’entrer le mot de passe (passphrase) PEM. Entrer le maintenant.
Remarque 2 : il existe un problème reconnu avec Apache/OpenSSL installés sur Windows. Si vous recevez un message d’erreur dans la commande ci-dessus, entrez les données suivantes: openssl req –sha 256 – new –key private/SERVEUR.key -out certs/SERVER.csr -config openssl.cnf. Entrer les informations pour votre demande de signature de certificat (CSR).
2. Ces informations apparaîtront sur le certificat : [country name] Code Pays à deux lettres ; [state or province name] Département ou région ; [locality name] Ville/localité ; [organization name] Organisation ; [organisation unit name] Service ; [commom name] Nom de serveur
Remarque : les caractères suivants ne sont pas acceptés : < > ∿ ! @ # $ % ˆ * / \ ( ) ? . , &
3. Ne pas entrer les informations suivantes : [email address] Adresse e-mail ; [challenge password] Mot de passe de challenge ; [optional company name] Nom de société optionnel ; [Key Usage] ; [Extended Key Usage] ; [Attributs]
4. S’assurer que toutes les informations de votre demande sont correctes puis entrer la commande suivant : openssl req –in SERVER.csr – noout -text. Votre CSR est désormais prête.
Exemple de CSR
La plupart des CSR sont créées sous format PEM encodé en base64.
En voici un exemple :
—–BEGIN CERTIFICATE REQUEST—– MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMR8w HQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQDEw53d3cuZ29v Z2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApZtYJCHJ4VpVXHfV IlstQTlO4qC03hjX+ZkPyvdYd1Q4+qbAeTwXmCUKYHThVRd5aXSqlPzyIBwieMZr WFlRQddZ1IzXAlVRDWwAo60KecqeAXnnUK+5fXoTI/UgWshre8tJ+x/TMHaQKR/J cIWPhqaQhsJuzZbvAdGA80BLxdMCAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAIhl 4PvFq+e7ipARgI5ZM+GZx6mpCz44DTo0JkwfRDf+BtrsaC0q68eTf2XhYOsq4fkH Q0uA0aVog3f5iJxCa3Hp5gxbJQ6zV6kJ0TEsuaaOhEko9sdpCoPOnRBm2i/XRD2D 6iNh8f8z0ShGsFqjDgFHyF3o+lUyj+UC6H1QW7bn —–END CERTIFICATE REQUEST—–