GNU/Linux >> Tutoriels Linux >  >> Linux

Générer une demande de signature de certificat

Avant de pouvoir installer un certificat SSL (Secure Socket Layer), vous devez d'abord générer une demande de signature de certificat (CSR). Vous pouvez le faire en utilisant l'une des méthodes suivantes :

  • (serveur Linux®) OpenSSL
  • Gestionnaire des services Internet (IIS) (serveur Microsoft® Windows®)
  • (Clients Cloud) Panneau de configuration Cloud
  • (Clients gérés) Portail MyRackspace

OpenSSL

Les sections suivantes décrivent comment utiliser OpenSSL pour générer un CSR pour un seul nom d'hôte. Si vous souhaitez générer un CSR pour plusieurs noms d'hôte, nous vous recommandons d'utiliser le panneau de configuration cloud ou le portail MyRackspace.

Installer OpenSSL

Vérifiez si OpenSSL est installé à l'aide de la commande suivante :

  • CentOS® et Red Hat® Enterprise Linux®

    rpm -qa | grep -i openssl

    La sortie suivante fournit un exemple de ce que la commande renvoie :

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian® et le système d'exploitation Ubuntu®

    dpkg -l | grep openssl

    La sortie suivante fournit un exemple de ce que la commande renvoie :

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

Si les packages précédents ne sont pas renvoyés, installez OpenSSL en exécutant la commande suivante :

  • CentOS et Red Hat

    yum install openssl openssl-devel

  • Debian et le système d'exploitation Ubuntu

    apt-get install openssl

Générer la clé RSA

Exécutez les commandes suivantes pour créer un répertoire dans lequel stocker votre clé RSA, en remplaçant un nom de répertoire de votre choix :

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

Exécutez la commande suivante pour générer une clé privée :

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048

Créer un CSR

Exécutez la commande suivante pour créer un CSR avec la clé privée RSA (la sortie est au format Privacy-Enhanced Mail (PEM)) :

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

Lorsque vous y êtes invité, entrez les informations nécessaires à la création d'un CSR en utilisant les conventions indiquées dans le tableau suivant.

Remarque : Vous ne pouvez pas utiliser les caractères suivants dans le nom de l'organisation ou Unité organisationnelle champs :< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Champ Explication Exemple
Nom commun Le nom de domaine complet auquel le certificat s'applique. Les noms de domaine example.com et www.example.com sont distincts les uns des autres, assurez-vous donc de soumettre votre demande pour le bon domaine. Si vous achetez un certificat générique, utilisez *.example.com . exemple.com
Nom de l'organisation Le nom légal exact de votre organisation. L'autorité de certification (CA) peut chercher à confirmer que votre organisation est réelle et légalement enregistrée, alors n'abrégez pas les mots qui ne sont pas abrégés dans le nom légal de l'organisation. Exemple Inc.
Unité organisationnelle La branche de votre organisation qui fait la demande. Marketing
Ville/localité La ville où votre organisation est légalement située. N'abrégez pas le nom de la ville. San Antonio
État/province L'état ou la province où votre organisation est légalement située. N'abrégez pas le nom de l'état ou de la province. Texas
Pays/région L'abréviation à deux lettres de l'Organisation internationale de normalisation (ISO) pour votre pays. États-Unis

Avertissement : Laissez le mot de passe de défi vide (appuyez sur Entrée ).

Vérifier votre CSR

Exécutez la commande suivante pour vérifier votre CSR :

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

Après avoir vérifié votre CSR, vous pouvez la soumettre à une autorité de certification pour acheter un certificat SSL.

Gestionnaire Windows IIS

Utilisez les étapes suivantes pour générer un CSR à l'aide du gestionnaire Windows IIS :

Remarque : Les étapes suivantes concernent IIS 8 ou IIS 8.5 sur Windows Server 2012.

  1. Ouvrez le gestionnaire IIS.

  2. Dans la partie gauche de Connexions volet, cliquez sur le serveur pour lequel vous souhaitez générer un CSR.

  3. Au centre serveur Accueil volet sous IIS section, double-cliquez sur Certificats de serveur .

  4. Dans la partie droite Actions volet, cliquez sur Créer une demande de certificat .

  5. Dans la section Demander un certificat Assistant, sur les Propriétés du nom distinctif page, saisissez les informations suivantes, puis cliquez sur Suivant .

    Champ Explication Exemple
    Nom commun Le nom de domaine complet auquel le certificat s'applique. Les noms de domaine example.com et www.example.com sont distincts les uns des autres, assurez-vous donc de soumettre votre demande pour le bon domaine. Si vous achetez un certificat générique, utilisez *.example.com . exemple.com
    Nom de l'organisation Le nom légal exact de votre organisation. L'autorité de certification peut chercher à confirmer que votre organisation est réelle et légalement enregistrée, alors n'abrégez pas les mots qui ne sont pas abrégés dans le nom légal de l'organisation. Exemple Inc.
    Unité organisationnelle La branche de votre organisation qui fait la demande. Marketing
    Ville/localité La ville où votre organisation est légalement située. N'abrégez pas le nom de la ville. San Antonio
    État/province L'état ou la province où votre organisation est légalement située. N'abrégez pas le nom de l'état ou de la province. Texas
    Pays/région L'abréviation ISO à deux lettres de votre pays. États-Unis

  6. Dans les propriétés du fournisseur de serveur cryptographique page, saisissez les informations suivantes, puis cliquez sur Suivant .

    • Fournisseur de services cryptographiques  :À moins que vous n'ayez un fournisseur de chiffrement spécifique, utilisez la sélection par défaut.
    • Longueur en bits :2048 est la longueur en bits recommandée.

  7. Sur le Nom de fichier page, entrez l'emplacement où vous souhaitez enregistrer le fichier de demande de certificat, puis cliquez sur Terminer .

Après avoir généré le CSR, vous pouvez le soumettre à une autorité de certification pour acheter un certificat SSL.

Panneau de configuration cloud

Rackspace fournit le générateur CSR pour générer un CSR. Le générateur de CSR vous montre les CSR que vous avez actuellement et vous permet de créer de nouveaux CSR avec un simple formulaire. Une fois que vous avez saisi vos coordonnées, le générateur les combine avec votre clé privée afin que vous puissiez soumettre les informations codées combinées à une autorité de certification.

Lorsque vous avez terminé avec le générateur, vous pouvez revenir au panneau de configuration du cloud en cliquant sur l'un des liens dans la barre de navigation supérieure ou en allant sur login.rackspace.com et en sélectionnant Rackspace Cloud dans le menu déroulant du produit dans la barre de navigation supérieure.

Accéder au générateur CSR

Accédez au générateur de CSR directement ou via le panneau de configuration en procédant comme suit :

  1. Connectez-vous au panneau de configuration du cloud et sélectionnez Rackspace Cloud dans le menu déroulant du produit dans la barre de navigation supérieure.
  2. Dans la barre de navigation supérieure, cliquez sur Serveurs > Serveurs Cloud .
  3. Cliquez sur le nom du serveur pour lequel vous souhaitez générer un CSR.
  4. Dans la partie droite Gestion de votre serveur sous M'aider avec , cliquez sur Générer un CSR .

Le générateur répertorie vos CSR existants, si vous en avez, organisés par nom de domaine.

Générer un CSR

  1. Cliquez sur Créer un CSR .

  2. Saisissez les informations suivantes, qui seront associées au CSR :

    Champ Explication Exemple
    Nom de domaine Le nom de domaine complet auquel le certificat s'applique. Les noms de domaine example.com et www.example.com sont distincts les uns des autres, assurez-vous donc de soumettre votre demande pour le bon domaine. Si vous souhaitez sécuriser les deux domaines, vous pouvez utiliser les Noms alternatifs champ. Si vous achetez un certificat générique, utilisez *.example.com . exemple.com
    Noms alternatifs (Facultatif) Domaines supplémentaires que vous souhaitez ajouter à la demande. Chaque autorité de certification les traite différemment et l'autorité de certification peut facturer des noms supplémentaires. Vous pouvez soumettre une liste séparée par des virgules. www.exemple.com, sécurisé.exemple.com
    Adresse e-mail (Facultatif) Une adresse e-mail de contact pour le certificat. [email protected]
    Nom de l'organisation Le nom légal exact de votre organisation. L'autorité de certification peut chercher à confirmer que votre organisation est réelle et légalement enregistrée, alors n'abrégez pas les mots qui ne sont pas abrégés dans le nom légal de l'organisation. Exemple Inc.
    Unité organisationnelle (Facultatif) La branche de votre organisation qui fait la demande. Marketing
    Ville La ville où votre organisation est légalement située. N'abrégez pas le nom de la ville. San Antonio
    État ou province L'état ou la province où votre organisation est légalement située. N'abrégez pas le nom de l'état ou de la province. Texas
    Pays Choisissez votre pays dans le menu déroulant. L'abréviation ISO à deux lettres de votre pays est incluse dans le CSR. États-Unis
    Longueur en bits de la clé privée Les tailles de clé inférieures à 2 048 sont considérées comme non sécurisées et peuvent ne pas être acceptées par une autorité de certification. 1024,2048,4096
    Algorithme de hachage Les deux algorithmes sont actuellement approuvés dans les navigateurs grand public et offrent une sécurité recommandée par l'industrie. SHA-512 nécessite un traitement CPU supplémentaire. SHA-256, SHA-512

    Remarque : Vous ne pouvez pas utiliser les caractères suivants dans le nom de l'organisation ou Unité organisationnelle champs :< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. Après avoir saisi toutes les informations requises, cliquez sur Créer un CSR .

La génération du CSR peut prendre entre 5 et 60 secondes. Vous devrez peut-être actualiser la page qui affiche vos CSR avant que la nouvelle CSR ne soit répertoriée.

Afficher les détails de la RSE

Une fois le CSR généré, vous pouvez cliquer sur son UUID (identifiant unique) dans la liste des CSR pour afficher son écran de détails.

Cet écran affiche les informations que vous avez fournies, le texte du CSR et sa clé privée associée.

Soumettre le CSR à l'AC

Le texte de la demande de certificat champ est le CSR. Il contient les détails codés du CSR et votre clé publique.

Pour demander votre certificat SSL, copiez la demande de certificat texte et soumettez-le à votre autorité de certification. Inclure tout le texte, y compris le BEGIN et FIN lignes au début et à la fin du bloc de texte.

Installer la clé privée

Copiez la clé privée sur le serveur qui hébergera le certificat. Consultez la documentation de votre application pour déterminer où installer la clé privée et le certificat sur votre serveur.

Portail MyRackspace

Si vous êtes un client géré ou dédié, vous pouvez demander un CSR via le portail MyRackspace en procédant comme suit :

  1. Connectez-vous au portail MyRackspace et sélectionnez Hébergement dédié dans le menu déroulant du produit dans la barre de navigation supérieure.

  2. Dans la barre de navigation supérieure, cliquez sur Billets> Créer un billet .

  3. Sur Billets / Créer un nouveau billet page, sélectionnez Générer une demande de signature de certificat (CSR) du Sujet liste déroulante.

  4. Entrez les informations suivantes dans les Détails du billet rubrique :

    Champ Explication Exemple
    Appareil(s) Le ou les serveurs pour lesquels vous souhaitez générer un CSR. Utilisez le menu déroulant pour sélectionner vos serveurs.
    Nom commun Le nom de domaine complet auquel le certificat s'applique. Les noms de domaine example.com et www.example.com sont distincts les uns des autres, assurez-vous donc de soumettre votre demande pour le bon domaine. Si vous souhaitez sécuriser les deux domaines, vous pouvez utiliser les Noms alternatifs champ. Si vous achetez un certificat générique, utilisez *.example.com . exemple.com
    Alt. Noms (Facultatif) Domaines supplémentaires que vous souhaitez ajouter à la demande. Chaque autorité de certification les traite différemment et l'autorité de certification peut facturer des noms supplémentaires. Vous pouvez soumettre une liste séparée par des virgules. www.exemple.com, sécurisé.exemple.com
    Adresse e-mail (Facultatif) Une adresse e-mail de contact pour le certificat. [email protected]
    Organisation Le nom légal exact de votre organisation. L'autorité de certification peut chercher à confirmer que votre organisation est réelle et légalement enregistrée, alors n'abrégez pas les mots qui ne sont pas abrégés dans le nom légal de l'organisation. Exemple Inc.
    Unité organisationnelle (Facultatif) La branche de votre organisation qui fait la demande. Marketing
    Localité (Ville) La ville où votre organisation est légalement située. N'abrégez pas le nom de la ville. San Antonio
    Nom de l'état ou de la province L'état ou la province où votre organisation est légalement située. N'abrégez pas le nom de l'état ou de la province. Texas
    Pays Choisissez votre pays dans le menu déroulant. L'abréviation ISO à deux lettres de votre pays est incluse dans le CSR. États-Unis

    Remarque : La longueur en bits est automatiquement définie sur 2048.

  5. Cliquez sur Créer un ticket .

Étapes suivantes

  • Acheter ou renouveler un certificat SSL
  • Installer un certificat SSL

Référence

  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6 options de commande OpenSSL que chaque administrateur système devrait connaître

  2. Comment générer une demande de signature de certificat (CSR) sous Linux

  3. Comment générer un certificat auto-signé de hachage x509 SHA256 à l'aide d'OpenSSL

  4. Générer CSR à partir de Cpanel

  5. Comment générer une demande de signature de certificat (CSR) pour un SSL

Comment générer une demande de signature de certificat (CSR) sur Ubuntu

Comment générer des certificats SSL auto-signés à l'aide d'OpenSSL

Autorité de certification avec OpenSSL

Comment générer un CSR dans Plesk 17 ?

Comment générer une CSR (demande de signature de certificat) sous Linux

Comment générer un certificat openssl avec une expiration inférieure à un jour ?