Comment générer votre CSR (Certificate Signing Request SSL)

Pour activer un certificat SSL il est nécessaire de générer une CSR (Certificate Signing Request (Demande de Signature de Certificat).

Il s’agit d’un bloc de texte chiffré qui précise de manière unique qui vous êtes et quel nom de domaine (et quel(s) sous-domaine(s)) vous voulez protéger avec ce certificat.

Note

La génération de la CSR crée aussi la clé privée dont vous aurez besoin pour l’installation du certificat. Prenez garde à conserver les 2 fichiers précautionneusement.

Si vous créez un certificat que vous utiliserez sur un hébergement Gandi, le système pourra générer la CSR automatiquement pour vous. Dans le cas contraire vous devrez le faire de votre côté afin de pouvoir initier la commande de certificat.Il est nécessaire d’utiliser un logiciel spécifique pour générer une CSR, et vous devrez copier le contenu du bloc texte dans le formulaire en ligne de création de certificat pour activer votre demande.

Une fois la CSR générée et fournie à Gandi, nous la transmettons à Sectigo, l’Autorité de Certification qui supervise la création de nos certificats SSL. Ils procéderont aux différents contrôles nécessaires et retournerons un certificat signé que vous pourrez installer sur votre serveur. Les visiteurs sur votre site pourront ainsi se baser sur l’Autorité de Sectigo pour valider la fiabilité du site par rapport à votre identité.

Important

Nous vous recommandons fortement d’utiliser la création automatique de SSL sur les instances SIMPLE HOSTING (plus d’informations ici) afin d’éviter d’éventuels problèmes de différences de droits entre le SSL et l’instance. Utilisez la méthode d’installation manuelle sur SHS uniquement si vous utilisez un certificat « externe » à Gandi.

Comment générer la CSR

Ce dont vous avez besoin

Pour générér une CSR vous aurez besoin d’un accès à un terminal UNIX sur une machine avec OpenSSL installé, ou un équivalent. Il n’est pas nécessaire d’utiliser spécifiquement la machine sur laquelle sera installé le certificat pour générer la CSR.

Quelques exemples de machines :

  • Votre ordinateur habituel, si vous utilisez Linux ou OS X / macOS.
  • Un serveur Gandi Cloud.
  • Une instance Simple Hosting (même si vous comptez utiliser le certificat chez un hébergeur externe)[¹]
  • Un serveur de production (accessible) tournant sous Unix ou Linux
  • Un ordinateur Windows sur lequel OpenSSL pour Windows est installé.

[¹] Vous pouvez par exemple profitez de la période d’essai de 10 jours sur une instance si vous ne l’avez jamais utilisée.

Définir le « Common Name »

Lors de la génération de la CSR il vous sera demandé le « Common Name » (Nom Commun). Il s’agit du nom de domaine principal, ou de l’adresse principale que vous voulez sécuriser avec votre certificat. Vous trouverez de plus amples informations.

Lancer la commande

Pour générer la CSR vous pouvez copier / coller la commande ci dessous dans votre terminal sur n’importe laquelle des machines présentées ci dessus :

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

Certains des éléments de cette commande sont expliqués ci dessous. Vous pouvez trouver lire la documentation relative à OpenSSL (en Anglais).

  • -newkey rsa:2048 : Génère un requête CSR et une clé privée utilisant le chiffrement RSA sur 2048 bits. Si vous voulez utiliser ce certificat sur une instance Simple Hosting, seul le chiffrement sur 2048 bits sera utilisable.
  • sha-256 : Utilisez l’algorithem SHA-256 ou SHA-2. Suite à la dépréciation des certificats utilisant SHA-1 notre partenaire Sectigo délivrera automatiquement des certificats SHA-2, que la CSR soit signée SHA-1 ou SHA-2.
  • -keyout myserver.key : Sauvegarder le fichier de clé privée sous le nom « myserver.key », dans le répertoire où la commande a été exécutée. Vous pouvez modifier ce nom (paramètre) pour plus de clarté et de suivi[²].
  • -out server.csr : Sauvegarder le fichier de CSR sous le nom « server.csr », dans le répertoire où la commande a été exécutée. Vous pouvez modifier ce nom (paramètre) pour plus de clarté et de suivi[²].

Après que vous ayez lancé la commande, il vous sera demandé d’entrer vos données d’identification. Ce sont les données qui vont être vérifiées par l’Autorité de Certification lorsqu’ils autoriseront la délivrance de votre certificat SSL. Ces informations comprennent :

  • Country Name : nom du pays, sous forme du code de deux lettres (FR pour FRance, US pour United States, etc…)
  • State or Province Name : Entrez le nom de votre état, région ou province. N’entrez pas d’abréviation.
  • Locality Name : Entrez le nom de votre ville ou commune.
  • Organization Name : Entez le nom de votre société, organisation comme par exemple votre raison sociale ou le nom de votre association. Ce champ est optionnel pour les SSL standards, mais obligatoire pour les certificats Pro ou Business.
  • Organization Unit Name : Entrez un nom d’organisation au sein de votre société, comme département informatique par exemple.
  • Common Name: Entrez le nom de domaine (example.com) ou adresse (dev.example.com) que vous voulez sécuriser. Pour de plus amples détails référez vous à la section précédente de cette page.
  • Email Address: Entrez une adresse email. Cette information n’est pas obligatoire, mais recommandée.

-A challenge password : Cette option est rarement utilisée. Nous vous recommandons de laisser le champ vide. -An optional company Name: Nous vous recommandons de laisser ce champ vide.

Une fois que la commande aura fini son exécution, vous trouverez deux fichiers : un fichier public .csr et une clé privée .key. Cette clé privée doit absolument être gardée secrète. Seul vous devez avoir accès à ce fichier et il sera nécessaire pour l’installation du certificat. Elle ne peut pas être remplacée ou substituée. Sa divulgation peut entraîner la révocation de votre SSL.

Ouvrir et copier le fichier CSR

Une fois la CSR générée, vous devriez être en mesure de copier son contenu et de le coller dans le champ concerné de l’interface Gandi lors de la procédure de commande. Vous pouvez ouvrir le fichier avec un simple éditeur de texte, ou via la commande cat monserveur.csr sur un terminal. Lors de la copie soyez certain de sélectionner l’intégralité du contenu, y compris :

-----BEGIN CERTIFICATE REQUEST-----
… texte ….
-----END CERTIFICATE REQUEST-----

Note

Le fichier .csr contient la CSR et le fichier .key contient la clé privée. Ils ne sont pas interchangeables il est donc important d’utiliser le bon fichier lors de votre commande. De même les deux étant liés si vous générez plusieurs CSR prenez garde à ne pas mélanger les clés privées.