Esci
CSR certificat : l’étape incontournable pour obtenir un certificat SSL
Un certificat SSL vous permet de sécuriser les échanges entre votre site web et les internautes par le biais d’une clé cryptographique. Dans un premier temps, il active le protocole HTTPS et fait apparaître le fameux cadenas de sécurité dans la barre d’adresse du navigateur – un gage de sécurité pour vos utilisateurs. Mais saviez-vous que l’obtention de ce précieux sésame passe par une étape préalable indispensable, appelée « demande de signature de certificat » ? Voici en quoi consiste la CSR certificat et comment l’utiliser pour mettre en place votre certificat SSL.
Qu’est-ce qu’une CSR certificat ?
Qu’est-ce qu’une CSR certificat ?
Une demande de certificat SSL impose donc de suivre un certain nombre d’étapes. La première consiste alors à prendre contact avec une Autorité de Certification (AC) comme CertEurope – An InfoCert Company et à sélectionner le type de certificat qui convient le mieux à vos besoins. La deuxième étape est autrement plus délicate : il s’agit en effet de générer une demande de signature de certificat (ou CSR certificat pour Certificate Signing Request) et de l’adresser à l’AC dans le but d’obtenir un certificat numérique.
En substance, une CSR est donc un message vers une Autorité de Certification par un demandeur, dans le but d’obtenir un certificat d’identité numérique.
Comment s’utilise une CSR ?
Comment s’utilise une CSR ?
La demande de signature de certificat est générée par le demandeur. Celui-ci doit créer une clé publique (qui sera incluse dans la CSR) et une clé privée (qu’il utilisera pour signer numériquement la demande et qu’il gardera secrète).
Quelles sont les informations contenues dans une CSR certificat ?
Quelles sont les informations contenues dans une CSR certificat ?
Dans en second temps, ce sont les informations contenues dans la CSR certificat qui permettent à l’Autorité de Certification de délivrer un certificat en bonne et due forme. Il faut :
- Le nom du serveur (CN=);
- Le nom de l’entreprise qui génère la demande (O=) ;
- L’unité organisationnelle (OU=), sous la forme du numéro de SIREN précédé de « 0002 » ;
- La localité (L=) et la région (S=) où est situé le siège social de l’organisation ;
- Le pays (C=) sous la forme d’un code ISO à deux lettres ;
- L’adresse mail de l’intermédiaire au sein de l’entreprise (le plus souvent, c’est la personne en charge de la gestion des certificats).
Quelles sont les règles à respecter pour une CSR ?
Quelles sont les règles à respecter pour une CSR ?
La génération d’une demande de signature de certificat suppose de respecter quelques conventions, notamment :
- Créer une clé privée d’une longueur de 2048 bits (clé de type RSA 2018 Bits).
- S’assurer de la sécurité de la clé privée(en utilisant un outil de génération de clé suffisamment récent pour ne pas être vulnérable, et en définissant un mot de passe/une liste de contrôle pour en protéger l’accès).
- Utiliser un algorithme de signature en SHA256 (SHA 256withRSA) pour la CSR (en vertu des exigences du cahier des charges RGS).
Quelle est la procédure de demande de signature de certificat
Quelle est la procédure de demande de signature de certificat
La procédure de demande de signature de certificat comprend une partie technique et une partie administrative.
Dans un premier temps, elle consiste donc à générer la CSR certificat et la clé privée. L’utilisation de OpenSSL se recommande, à la fois pour sa simplicité et pour ses performances. Nous allons prendre l’exemple d’une demande de signature de certificat adressée à CertEurope – An InfoCert Company.
Pour générer la clé, vous devez :
-
- Accéder à la ligne de commande et entrer : openssl genrsa -des3 -out key private/SERVEUR.key 2048 ;
-
- Choisir un mot de passe PEM (si vous ne souhaitez pas créer de mot de passe, il est toujours possible de supprimer la commande « -des3 », mais votre clé sera vulnérable) ;
-
- Générer automatiquement une clé privée RSA 2048 bits.
Votre clé se sauvegarde dans le fichier key private/SERVEUR.key.
Comment générer une demande de signature de certificat ?
Comment générer une demande de signature de certificat ?
Pour générer la demande de signature de certificat, il faut ensuite :
-
- Accéder au fichier de configuration adressé par l’Autorité de Certification en fonction du type de certificat demandé en modifiant les valeurs par défaut par celles de votre organisation.
- openssl-OI-Cachet.cnf pour un cachet serveur,
- openssl-OI-SAN-authclient.cnf pour un SSL Authentification Client,
- openssl-OI-SAN.cnf pour un SSL Authentification Serveur,
- openssl-OI-SAN.cnf pour un SSL Quovadis
-
- Entrer la commande : openssl req -new -out certeurope-seal-2048.csr -key certeurope-seal-2048.key -config [openssl-OI-Cachet.cnf]. Entre crochets : le fichier de configuration de votre profil de certificat.
-
- Entrer votre mot de passe PEM si vous l’avez configuré.
-
- Vérifier que les informations sont correctes.
-
- Entrer la commande : openssl req –in certeurope-seal-2048.csr – noout –text.
Ce qui permet de générer votre CSR certificat. Celle-ci est dans le format PEM encodé en base64, PEM (Privacy Enhanced Mail), format par défaut pour OpenSSL. Il s’agit d’un fichier DER encodé en ASCII et entouré de balises de marquage.
Que se passe-t-il une fois la CSR générée ?
Que se passe-t-il une fois la CSR générée ?
La procédure administrative vient dans un second temps. Elle consiste donc à fournir à l’Autorité de Certification une demande de signature contenant toutes les informations indispensables, ainsi que la clé publique générée.
D’autres informations peuvent alors vous être demandées en fonction du niveau de certification souhaité : l’obtention d’un certificat EV ou OV (à validation étendue ou à validation d’organisation) suppose un contrôle poussé des informations que vous avez fournies au sujet de votre structure. Dans le cas d’un certificat simple (DV, à validation de domaine), pas d’obligation pour effectuer ces vérifications. Quel que soit le niveau choisi, vous devrez tout de même renseigner ces informations dans votre CSR certificat.
Si votre demande de signature de certificat s’accepte, vous recevrez ainsi un certificat d’identité numérique de la part de l’AC et accompagné d’une clé privée.
Les étapes à suivre pour obtenir un certificat SSL
Les étapes à suivre pour obtenir un certificat SSL
La demande de signature de certificat n’est donc qu’une des étapes nécessaires pour l’obtention d’un certificat SSL. Profitons-en alors pour rappeler quelles sont ces étapes incontournables :
- Sélectionnez l’Autorité de Certification qui vous délivrera votre certificat SSL.
- Choisissez votre niveau de certification (SSL DV, SSL OV, SSL EV, SSL wildcard) et la période de validité désirée.
- Entrez votre CSR certificat en prenant soin de donner de complètes informations viables, après avoir généré l’indispensable paire de clés.
- Attendez la validation de votre demande.
- Téléchargez votre certificat SSL émis par l’AC, soit depuis le mail qui vous a été envoyé, soit depuis votre Espace client sur le site du prestataire. Placez vos certificats (s’il y en a plusieurs) dans un dossier dédié.
- Installez votre certificat et liez-le à votre site web.
- Redémarrez votre serveur et testez votre certificat numérique. Utilisez des navigateurs web différents pour vous assurer que le protocole HTTPS est bien activé et que l’icône du cadenas apparaît.
La procédure est en effet quasiment identique quel que soit le serveur utilisé (Apache, par exemple). Pour plus d’informations au sujet de votre demande de CSR certificat et de l’installation de votre certificat final, n’hésitez pas à vous renseigner auprès de votre Autorité de Certification.
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise
