Ce tutoriel vous montrera comment générer manuellement un Demande de signature de certificat (ou CSR) dans un environnement d'hébergement Web Apache ou Nginx utilisant OpenSSL. Cliquez sur ici pour un tutoriel sur la commande de certificats, ou ici pour plus d'informations sur l'installation de votre nouveau certificat SSL.com.
Pour plus d'informations utiles et les dernières nouvelles sur la cybersécurité, inscrivez-vous à la newsletter de SSL.com ici :
Vidéo
OpenSSL est une boîte à outils de ligne de commande open source très utile pour travailler avec X.509 certificats, demandes de signature de certificat (CSRs) et les clés cryptographiques. Si vous utilisez une variante UNIX comme Linux ou macOS, OpenSSL est probablement déjà installé sur votre ordinateur. Si vous souhaitez utiliser OpenSSL sous Windows, vous pouvez activer Sous-système Linux de Windows 10 ou installez Cygwin.
Dans ces instructions, nous allons utiliser OpenSSL req
utilitaire pour générer à la fois la clé privée et CSR en une seule commande. Générer la clé privée de cette manière garantit que vous serez invité à entrer une phrase de passe pour protéger la clé privée. Dans tous les exemples de commandes affichés, remplacez les noms de fichiers affichés en MAJUSCULES par les chemins et noms de fichiers réels que vous souhaitez utiliser. (Par exemple, vous pouvez remplacer PRIVATEKEY.key
avec /private/etc/apache2/server.key
dans un environnement Apache macOS.) Ce guide couvre la génération des deux RSA et ECDSA clés.
RSA
La commande OpenSSL ci-dessous générera une clé privée RSA de 2048 bits et CSR:
openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr
Décomposons la commande:
openssl
est la commande pour exécuter OpenSSL.req
est l'utilitaire OpenSSL pour générer un CSR.-newkey rsa:2048
demande à OpenSSL de générer une nouvelle clé privée RSA de 2048 bits. Si vous préférez une clé de 4096 bits, vous pouvez modifier ce numéro en4096
.-keyout PRIVATEKEY.key
spécifie où enregistrer le fichier de clé privée.-out MYCSR.csr
spécifie où enregistrer le CSR fichier.- Avec ces deux derniers éléments, n'oubliez pas d'utiliser vos propres chemins et noms de fichiers pour la clé privée et CSR, pas les espaces réservés.
Après avoir tapé la commande, appuyez sur entrer. Une série d'invites vous sera présentée:
- Commencez par créer et vérifier une phrase de passe. Souvenez-vous de cette phrase de passe car vous en aurez à nouveau besoin pour accéder à votre clé privée.
- Vous serez maintenant invité à entrer les informations qui seront incluses dans votre CSR. Cette information est également connue sous le nom de Nom distingué, ou DNL’ Nom commun est obligatoire par SSL.com lors de la soumission de votre CSR, mais les autres sont facultatifs. Si vous souhaitez ignorer un élément facultatif, tapez simplement entrer quand il apparaît:
- La Nom du pays (facultatif) prend deux lettres code postal.
- La Nom de localité Le champ (facultatif) correspond à votre ville ou village.
- La Nom de l'organisation Le champ (facultatif) correspond au nom de votre entreprise ou organisation.
- La Nom commun champ (obligatoire) est utilisé pour le Nom de domaine complet (FQDN) du site Web que ce certificat protégera.
- Adresse Email (Optionnel)
- La Mot de passe du défi Le champ est facultatif et peut également être ignoré.
À la fin de ce processus, vous serez renvoyé à une invite de commande. Vous ne recevrez aucune notification indiquant que votre CSR a été créé avec succès.
ECDSA
Pour créer une clé privée ECDSA avec votre CSR, vous devez appeler un deuxième utilitaire OpenSSL pour générer les paramètres de la clé ECDSA.
Cette commande OpenSSL générera un fichier de paramètres pour une clé ECDSA 256 bits:
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
openssl genpkey
exécute l'utilitaire openssl pour la génération de clé privée.-genparam
génère un fichier de paramètres au lieu d'une clé privée. Vous pouvez également générer une clé privée, mais en utilisant le fichier de paramètres lors de la génération de la clé et CSR garantit que vous serez invité à entrer une phrase de passe.-algorithm ec
spécifie un algorithme de courbe elliptique.-pkeyopt ec_paramgen_curve:P-256
choisit une courbe de 256 bits. Si vous préférez une courbe de 384 bits, remplacez la partie après les deux points parP-384
.-out ECPARAM.pem
fournit un chemin et un nom de fichier pour le fichier de paramètres.
Maintenant, spécifiez votre fichier de paramètres lors de la génération du CSR:
openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
La commande est la même que celle utilisée dans l'exemple RSA ci-dessus, mais -newkey RSA:2048
a été remplacé par -newkey ec:ECPARAM.pem
. Comme auparavant, vous serez invité à entrer une phrase de passe et des informations sur le nom distinctif pour le CSR.
Si vous le souhaitez, vous pouvez utiliser la redirection pour combiner les deux commandes OpenSSL en une seule ligne, en ignorant la génération d'un fichier de paramètres, comme suit:
openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr
Suivant Étapes
Pour plus d'informations sur l'installation de votre certificat, lire ici, pour la liaison avec IIS 10, lire ici.