Générer votre CSR

Pour activer une certificat SSL il est nécessaire de générer une CSR (Certificate Signing Request (Demande de Signature de Certificat).

Il s’agit d’un bloc de texte chiffré qui précise de manière unique qui vous êtes et plus spécialement quel nom de domaine (et quel(s) sous-domaine(s)) vous voulez utiliser avec ce certificat. Il est nécessaire d’utiliser un logiciel spécifique pour générer une CSR, et vous devrez copier le contenu du bloc texte dans le formulaire en ligne de création de certificat pour activer votre demande.

Vous trouverez ci dessous deux des programmes les plus populaires pour générer une CSR. Comme il sera nécessaire de spécifier le logiciel utilisé durant cette génération lors du processus de création, ce peut être une bonne idée de tout faire en une fois de manière à garder les traces du processus.

Générer votre CSR avec Apache/ModSSL (basé sur OpenSSL)

Si vous envisagez d’utiliser votre certificat avec une instance Simple Hosting , la clé devra être obligatoirement (et uniquement) de 2048 bits (néanmoins nous vous recommandons l’installation automatique dans ce cas là).

Vous devrez aussi installer le certificat « intermédiaire », ainsi que le certificat « Cross Signed » sur votre serveur afin de réduire le risque d’incompatibilité avec certains navigateurs « moins courants ».

Avec la dépréciation des certificats SHA1, notre partenaire Comodo, qui est une Autorité de Certification, délivrera automatiquement un certificat SHA2, que la CSR ait été créée pour une signature SHA1 ou SHA2.

Pour générer une CSR (SHA-2).

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

Cette « commande » créé deux fichiers : un fichier public .csr, et une clé privée .key. Ce second fichier doit être absolument conservé (il sera nécessaire pour l’installation du certificat) et gardé de manière secrète et sécurisée. Ce fichier .key ne peut être créé que lors de la génération d’une CSR et il est différent à chaque génération, il ne peut donc pas être remplacé. En cas de perte de cette clé il faudra générer une nouvelle paire CSR/ Clé et régénérer le certificat avec cette nouvelle CSR.

Lorsque vous lancer cette commande, le système va vous poser une série de questions. Voici quelques exemples de réponses.

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]:Ile de France
Locality Name (eg, city) []: Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MaSociete SARL
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: sousdomaine.votredomaine.tld
Email Address []:moi@mondomaine.tld
A challenge password []:
An optional company name []:

Le nom de société optionel et le mot de passe sont optionnels.

Il est recommandé d’entrer une adresse email , même si elle est optionnelle.

Sousdomaine.votredomaine.tld indique le sous domaine (ou adresse URL) que vous voulez protéger. ** C’est l’information la plus importante**.

Note

Si vous voulez activer un certificat Une Adresse, si vous créez une CSR pour le domaine « Apex » (nu, « exemple.com » par exemple), le sous domaine « www » est automatiquement ajouté par l’Autorité de Certification. Si l’on reprends l’exemple « exemple.com », le certificat Une Adresse sera fonctionnel aussi bien pour https://exemple.com que pour https://www.exemple.com.

Pour un certificat « Wildcard » vous devrez définir l’adresse à protéger en spécifiant une astérique (*) pour le niveau de sous domaine à protéger (ex : .exemple.com). Les certificats Wildcards protégent aussi le domaine Apex. Les certificats Multidomaines par contre ne peuvent pas être utilisés de cette manière. Vous devez définir un domaine ou sous domaine principal (« common name ») **qui ne pourra pas être modifiée* et il faudra définir toutes les autres adresses qui devront être « protégées ». Autrement dit, si vous créez votre certificat Multidomaine pour « exemple.com », vous devrez préciser le sous domaine « www.exemple.com » dans la liste des adresses alternatives (« altnames »).

Le contenu du fichier de la CSR est nécessaire pour activer le certificat. La commande :

cat server.csr

affichera le contenu du fichier :

-----BEGIN CERTIFICATE REQUEST-----
… texte crypté ….
-----END CERTIFICATE REQUEST-----

Prenez bien garde à copier l’intégralité du bloc texte, y compris les lignes « Begin » et « End ».

..TIP:: Pour toutes les CSRs créées avec OpenSSL vous devrez choisir l’application Apache/ModSSL dans la liste lorsque vous soumettez votre CSR. C’est souvent le cas avec les logiciels Open Source qui utilisent le Framework OpenSSL.

Vous pouvez afficher le contenu de votre clé privée en utilisant la commande :

cat myserver.key

(remplacez « myserver » par le nom du fichier si vous lui avez donné un nom différent.

Générer votre CSR sur une instance Simple Hosting

Vous pouvez aussi générer votre CSR et Clé Privée sur une instance Simple Hosting (si vous en possédez une), en vous connectant via la console SSH sur celle ci.

Une fois connecté, rendez vous dans le répertoire / srv/data/tmp :

$ cd /sr/data/tmp

Une fois dans le répertoire, lancez la commande openssl ci dessus.

Générer votre CSR avec Microsoft IIS

Dans le panneau de « contrôle Windows » → « Outils d’administration » , sélectionnez « Gestion IIS ».

Faites un clic droit sur le site web concerné et sélectionnez « propriétés ».

Sélectionnez l’onglet  » Sécurité du répertoire » et cliquez sur « Certificat Serveur ». Choisissez « Créer un nouveau certificat », puis « Préparer la requête maintenant mais envoyer plus tard ».

Le formulaire de création demande les mêmes informations que celles listées pour OpenSSL (voir ci dessus). Remplissez les champs en faisant particulièrement attention aux spécifications domaine, sous domaines et Wildcard (Joker).

Indiquez le nom de fichier sous lequel votre CSR sera sauvegardée à la fin du processus. Vous devrez copier / coller le contenu de ce fichier (à ouvrir avec n’importe quel éditeur de texte) lors du processus de création de certificat sur notre site Gandi.