Comment générer la CSR ?

La CSR est un fichier contenant les informations de votre demande de certificat, y compris votre clé publique. Vous devez générer cette clé à partir de votre serveur.

Générer votre CSR sous Apache/mod_ssl (basé sur OpenSSL)

La clé RSA doit faire à minima 2048 bits et être un multiple de 1024

Si vous utilisez le certificat sur notre offre Simple Hosting, il faudra que la clé soit en 2048 bits et pas au delà.

Depuis septembre 2014, vous avez la possibilité de créer des certificats utilisant SHA2.

Si vous choisissez d'utiliser SHA2, nous vous conseillons d'ajouter le certificat intermédiaire ainsi que le certificat cross signed sur votre serveur pour réduire les risques d'incompatibilité avec les navigateurs.

Le certificat délivré dépend du type de chiffrement associé à la CSR.

Par défaut, OpenSSL génère une CSR en SHA1, si vous souhaitez disposer d'un certificat SHA2, il suffira d'ajouter une option -sha256 ou -sha512 à la commande openssl.

==== Générer une demande de certificat en SHA 1 ==== deprécié au 01/01/2017

 openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr

Générer une demande de certificat en SHA 2

  openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr

Le processus va créer 2 fichiers : un public en .csr et un privé en .key qu'il faudra absolument garder

La clé privée est générée en même temps que votre clé csr et se trouvera sur votre ordinateur ou serveur avec l'extension .key.

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]: .
Locality Name (eg, city) []: Paris
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MaSociété
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: sousdomaine.domaine.tld
Email Address []:
A challenge password []: 
An optional company name []:

Les champs optional company name et challenge password sont facultatifs.

Il est préférable de remplir le champ Email Address.

sousdomaine.domaine.tld indique l'adresse que vous voulez protéger.

Pour les certificats une adresse, si vous générez votre CSR avec le domaine seulement, le sous-domaine www sera aussi sécurisé (ex : exemple.com et www.exemple.com). L'inverse est aussi vraie, et si vous générez la CSR avec le sous-domaine www, l'adresse avec le domaine nu sera aussi incluse dans votre certificat.

Pour les certificats multidomaines; il faut déclarer explicitement chaque domaine ou sous domaine à couvrir.

Le contenu des fichiers CSR et KEY générés vous sera alors demandé lors de la création de votre certificat.

Afin de l'entrer dans la fenêtre d'admin Gandi, il vous suffit d’exécuter

cat serveur.csr

afin d'afficher le contenu du fichier et de copier-coller celui-ci dans l'interface Gandi comme ci-dessous

-----BEGIN CERTIFICATE REQUEST-----
...encrypted text...
-----END CERTIFICATE REQUEST-----

Vous pouvez de plus utiliser la commande cat sur le fichier monserveur.key afin d'afficher son contenu.

Prenez soin de bien copier le bloc entier

Dans le cas d'un certificat Wildcard (multi-adresses), vous devrez entrer dans Common Name : *.votredomaine.tld

Un certificat Wildcard (multi-adresses) protégera tout sous-domaine de second niveau, mais ne sera pas valide pour les sous-domaines de niveau supérieur.
Le certificat SSL sera valide pour second.domaine.tld et tout autre sous-domaine que 'second'.
Il ne sera pas valide pour troisieme.second.domaine.tld par contre.

Dans le cas d'un certificat Multi-domaines, n'entrez dans le champ CN que l'adresse principale (la première de votre liste si vous le souhaitez) : vous devrez indi quer les autres (altnames) dans des champs correspondants, directement sur l'interface de Gandi.

Générer votre CSR sur Simple Hosting

Afin de générer une CSR et une clé privée sur votre instance connectez-vous à la Console SSH.

Naviguez ensuite dans le dossier /srv/data/tmp :

$ cd /srv/data/tmp

Puis lancez la commande openssl comme indiqué.

Générer votre CSR sous IIS

Dans “panneau de configuration”, “outils d'administration”, sélectionnez le gestionnaire IIS. Faites un clic droit sur le site concerné, sélectionnez “Propriétés”. Dans l'onglet “Sécurité de répertoire” (Directory Security), cliquez sur “Certificat de serveurs” (Server certificate), choisissez “Créer un certificat” (Create a new certificate) et “Préparer la demande, mais ne pas l'envoyer maintenant” (Prepare the request now but send it later).

Le formulaire de création vous est maintenant proposé avec les mêmes champs que ci-dessus. Indiquez le fichier où stocker votre CSR en fin de processus. Il faudra alors copier-coller son contenu lors de l'activation du certificat dans l'interface Gandi.

Dans le cas où vous utilisez Windows, il peut arriver que le presse-papier convertisse des caractères rendant alors la CSR invalide lors de la copie sur l'interface.

Retour

Dernière modification: le 24/02/2017 à 08:24 par Valère M. (Gandi)