Présentation
Une demande de signature de certificat (CSR) est la première étape de la configuration d'un certificat SSL sur votre site Web. Les certificats SSL sont fournis par les autorités de certification (CA), qui nécessitent une demande de signature de certificat (CSR).
Ce guide vous expliquera comment générer une demande de signature de certificat à l'aide d'OpenSSL.
Prérequis
- Accès à un compte utilisateur avec root ou sudo privilèges
- Une ligne de commande/fenêtre de terminal
- Si vous travaillez sur un serveur distant, une connexion SSH établie au serveur
- OpenSSL doit être installé sur votre système pour générer la clé
- Un éditeur de texte, tel que nano , pour afficher votre clé
Générer une demande de signature de certificat OpenSSL
Étape 1 :Connectez-vous à votre serveur
Ouvrez une fenêtre de terminal. Utilisez votre connexion SSH pour vous connecter à votre serveur distant.
Étape 2 :Créer une clé privée RSA et un CSR
Il est conseillé d'émettre une nouvelle clé privée chaque fois que vous générez un CSR. Par conséquent, les étapes ci-dessous expliquent comment générer à la fois la clé privée et le CSR.
openssl req -new -newkey rsa:2048 -nodes -keyout your_domain.key -out your_domain.csr
Assurez-vous de remplacer your_domain avec le domaine réel pour lequel vous générez un CSR.
Les commandes sont réparties comme suit :
- openssl – active le logiciel OpenSSL
- demande – indique que nous voulons un CSR
- –new –newkey – générer une nouvelle clé
- rsa :2048 – générer une clé mathématique RSA 2048 bits
- –nœuds – pas de DES, ce qui signifie ne pas chiffrer la clé privée dans un fichier PKCS#12
- –keyout – indique le domaine pour lequel vous générez une clé
- –out – spécifie le nom du fichier sous lequel votre CSR sera enregistré
Étape 3 :Saisissez vos informations RSE
Votre système devrait lancer un questionnaire textuel que vous devrez remplir.
Saisissez vos informations dans les champs comme suit :
- Nom du pays – utilisez un code pays à 2 lettres (US pour les États-Unis)
- État – l'état dans lequel le propriétaire du domaine est constitué
- Localité – la ville dans laquelle le propriétaire du domaine est incorporé
- Nom de l'organisation – la personne morale propriétaire du domaine
- Nom de l'unité organisationnelle – le nom du département ou du groupe de votre organisation qui s'occupe des certificats
- Nom commun – généralement le nom de domaine complet (FQDN), c'est-à-dire ce que les utilisateurs saisissent dans un navigateur Web pour accéder à votre site Web
- Adresse e-mail – l'adresse e-mail du webmaster
- Défier le mot de passe – un mot de passe facultatif pour votre paire de clés
Veuillez tenir compte de ce Nom de l'organisation et Nom de l'unité ne doit pas contenir les caractères suivants :
< > ~ ! @ # $ % ^ * / \ ( ) ? . , &
Étape 4 :Localiser le fichier de demande de signature de certificat
Une fois le logiciel terminé, vous devriez pouvoir trouver le fichier CSR dans votre répertoire de travail.
Vous pouvez également saisir les éléments suivants :
ls *.csrLe système doit répertorier toutes les demandes de signature de certificat sur le système. Celui qui correspond au nom de domaine que vous avez fourni à l'étape 2 avec l'extension .csr est celui que vous devez examiner.
Étape 5 :Soumettez le CSR dans le cadre de votre demande SSL
Vous pouvez ouvrir le fichier .csr dans un éditeur de texte pour trouver le code alphanumérique qui a été généré.
Saisissez la commande suivante :
sudo nano your_domain.csrCe texte peut être copié et collé dans un formulaire de soumission pour demander votre certificat SSL à une autorité de certification.
Assurez-vous de copier tout le texte. Certaines autorités de certification peuvent vous permettre de télécharger simplement le fichier .csr que vous avez généré. Vous trouverez ci-dessous un exemple de CSR.
Vous n'avez pas besoin d'envoyer la clé privée à l'autorité de certification. Une fois que vous avez obtenu votre certificat SSL, la clé privée sur le serveur se lie avec lui pour chiffrer la communication.