Un certificat SSL vous permet de sécuriser les échanges entre votre site web et les internautes par le biais d’une clé cryptographique. Il active le protocole HTTPS et fait apparaître le fameux cadenas de sécurité dans la barre d’adresse du navigateur – un gage de sécurité pour vos utilisateurs. Mais saviez-vous que l’obtention de ce précieux sésame passe par une étape préalable indispensable, appelée « demande de signature de certificat » ? Voici en quoi consiste la CSR certificat et comment l’utiliser pour mettre en place votre certificat SSL.

Qu’est-ce qu’une CSR certificat ?

Une demande de certificat SSL impose de suivre un certain nombre d’étapes. La première consiste à prendre contact avec une Autorité de Certification (AC) comme CertEurope et à sélectionner le type de certificat qui convient le mieux à vos besoins. La deuxième étape est autrement plus délicate : il s’agit de générer une demande de signature de certificat (ou CSR certificat pour Certificate Signing Request) et de l’adresser à l’AC dans le but d’obtenir un certificat numérique.

En substance, une CSR est donc un message adressé à une Autorité de Certification par un demandeur, dans le but d’obtenir un certificat d’identité numérique.

 

Comment s’utilise une CSR ?

La demande de signature de certificat est générée par le demandeur. Celui-ci doit créer une clé publique (qui sera incluse dans la CSR) et une clé privée (qu’il utilisera pour signer numériquement la demande et qu’il gardera secrète).

 

Quelles sont les informations contenues dans une CSR certificat ?

Ce sont les informations contenues dans la CSR certificat qui permettent à l’Autorité de Certification de délivrer un certificat en bonne et due forme. Sont demandés :

  • Le nom du serveur (CN=);
  • Le nom de l’entreprise qui génère la demande (O=) ;
  • L’unité organisationnelle (OU=), sous la forme du numéro de SIREN précédé de « 0002 » ;
  • La localité (L=) et la région (S=) où est situé le siège social de l’organisation ;
  • Le pays (C=) sous la forme d’un code ISO à deux lettres ;
  • L’adresse mail de l’intermédiaire au sein de l’entreprise (le plus souvent, c’est la personne en charge de la gestion des certificats).

 

Quelles sont les règles à respecter pour une CSR ?

La génération d’une demande de signature de certificat suppose de respecter quelques conventions, notamment :

  • Créer une clé privée d’une longueur de 2048 bits (clé de type RSA 2018 Bits).
  • S’assurer de la sécurité de la clé privée(en utilisant un outil de génération de clé suffisamment récent pour ne pas être vulnérable, et en définissant un mot de passe/une liste de contrôle pour en protéger l’accès).
  • Utiliser un algorithme de signature en SHA256 (SHA 256withRSA) pour la CSR (en vertu des exigences du cahier des charges RGS).

 

Comment générer une demande de signature de certificat ?

La procédure de demande de signature de certificat comprend une partie technique et une partie administrative.

La procédure technique vient dans un premier temps. Elle consiste à générer la CSR certificat et la clé privée. L’utilisation de OpenSSL est recommandée, à la fois pour sa simplicité et pour ses performances. Nous allons prendre l’exemple d’une demande de signature de certificat adressée à CertEurope.

Pour générer la clé, vous devez :

  • Accéder à la ligne de commande et entrer : openssl genrsa -des3 -out key private/SERVEUR.key 2048 ;
  • Choisir un mot de passe PEM (si vous ne souhaitez pas créer de mot de passe, il est toujours possible de supprimer la commande « -des3 », mais votre clé sera vulnérable) ;
  • Générer automatiquement une clé privée RSA 2048 bits.

Votre clé est sauvegardée dans le fichier key private/SERVEUR.key.

Pour générer la demande de signature de certificat, il faut ensuite :

  • Accéder au fichier de configuration adressé par l’Autorité de Certification (en fonction du type de certificat demandé : openssl-OI-Cachet.cnf pour un cachet serveur, openssl-OI-SAN-authclient.cnf pour un SSL Authentification Client, openssl-OI-SAN.cnf pour un SSL Authentification Serveur, openssl-OI-SAN.cnf pour un SSL Quovadis) en modifiant les valeurs par défaut par celles de votre organisation.
  • Entrer la commande : openssl req -new -out certeurope-seal-2048.csr -key certeurope-seal-2048.key -config [openssl-OI-Cachet.cnf]. Entre crochets : le fichier de configuration de votre profil de certificat.
  • Entrer votre mot de passe PEM si vous l’avez configuré.
  • Vérifier que les informations sont correctes.
  • Entrer la commande : openssl req –in certeurope-seal-2048.csr – noout –text.

Ce qui permet de générer votre CSR certificat. Celle-ci est créée dans le format PEM encodé en base64, PEM (Privacy Enhanced Mail) étant le format par défaut pour OpenSSL (il s’agit d’un fichier DER encodé en ASCII et entouré de balises de marquage).

Exemple CSR

Que se passe-t-il une fois la CSR générée ?

La procédure administrative vient dans un second temps. Elle consiste à fournir à l’Autorité de Certification une demande de signature contenant toutes les informations indispensables, ainsi que la clé publique générée.

D’autres informations peuvent vous être demandées en fonction du niveau de certification souhaité : l’obtention d’un certificat EV ou OV (à validation étendue ou à validation d’organisation) suppose un contrôle poussé des informations que vous avez fournies au sujet de votre structure. Dans le cas d’un certificat simple (DV, à validation de domaine), ces vérifications ne sont pas imposées. Quel que soit le niveau choisi, vous devrez tout de même renseigner ces informations dans votre CSR certificat.

Si votre demande de signature de certificat est acceptée, un certificat d’identité numérique vous est envoyé par l’AC accompagné d’une clé privée.

 

Les étapes à suivre pour obtenir un certificat SSL

La demande de signature de certificat n’est qu’une des étapes nécessaires pour l’obtention d’un certificat SSL. Profitons-en pour rappeler quelles sont ces étapes incontournables :

  1. Sélectionnez l’Autorité de Certification qui vous délivrera votre certificat SSL.
  2. Choisissez votre niveau de certification (SSL DV, SSL OV, SSL EV, SSL wildcard) et la période de validité désirée.
  3. Entrez votre CSR certificat en prenant soin de donner des informations complètes et viables, après avoir généré l’indispensable paire de clés.
  4. Attendez la validation de votre demande.
  5. Téléchargez votre certificat SSL émis par l’AC, soit depuis le mail qui vous a été envoyé, soit depuis votre Espace client sur le site du prestataire. Placez vos certificats (s’il y en a plusieurs) dans un dossier dédié.
  6. Installez votre certificat et liez-le à votre site web.
  7. Redémarrez votre serveur et testez votre certificat numérique. Utilisez des navigateurs web différents pour vous assurer que le protocole HTTPS est bien activé et que l’icône du cadenas apparaît.

La procédure est quasiment identique quel que soit le serveur utilisé (Apache, par exemple). Pour plus d’informations au sujet de votre demande de CSR certificat et de l’installation de votre certificat final, n’hésitez pas à vous renseigner auprès de votre Autorité de Certification.

Commandez votre certificat SSL

 

Hélène Toutchkov

Hélène Toutchkov
Content Manager