Générez manuellement une demande de signature de certificat (CSR) Utilisation d'OpenSSL

Comment générer manuellement une demande de signature de certificat (ou CSR) dans un environnement d'hébergement Web Apache ou Nginx utilisant OpenSSL.

Ce tutoriel vous montrera comment générer manuellement un Demande de signature de certificat (ou CSR) dans un environnement d'hébergement Web Apache ou Nginx utilisant OpenSSL. Cliquez sur ici pour un tutoriel sur la commande de certificats, ou ici pour plus d'informations sur l'installation de votre nouveau certificat SSL.com.

Pour plus d'informations utiles et les dernières nouvelles sur la cybersécurité, inscrivez-vous à la newsletter de SSL.com ici :

Vidéo

Qu'est-ce que OpenSSL?
OpenSSL est une boîte à outils de ligne de commande open source très utile pour travailler avec X.509 certificats, demandes de signature de certificat (CSRs) et les clés cryptographiques. Si vous utilisez une variante UNIX comme Linux ou macOS, OpenSSL est probablement déjà installé sur votre ordinateur. Si vous souhaitez utiliser OpenSSL sous Windows, vous pouvez activer Sous-système Linux de Windows 10 ou installez Cygwin.

Dans ces instructions, nous allons utiliser OpenSSL req utilitaire pour générer à la fois la clé privée et CSR en une seule commande. Générer la clé privée de cette manière garantit que vous serez invité à entrer une phrase de passe pour protéger la clé privée. Dans tous les exemples de commandes affichés, remplacez les noms de fichiers affichés en MAJUSCULES par les chemins et noms de fichiers réels que vous souhaitez utiliser. (Par exemple, vous pouvez remplacer PRIVATEKEY.key avec /private/etc/apache2/server.key dans un environnement Apache macOS.) Ce guide couvre la génération des deux RSA et ECDSA clés.

SSL.com fournit un large. variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.

COMPARER SSL /TLS CERTIFICATS

RSA

La commande OpenSSL ci-dessous générera une clé privée RSA de 2048 bits et CSR:

openssl req -newkey rsa: 2048 -keyout PRIVATEKEY.key -out MYCSR.csr

Décomposons la commande:

  • openssl est la commande pour exécuter OpenSSL.
  • req est l'utilitaire OpenSSL pour générer un CSR.
  • -newkey rsa:2048 demande à OpenSSL de générer une nouvelle clé privée RSA de 2048 bits. Si vous préférez une clé de 4096 bits, vous pouvez modifier ce numéro en 4096.
  • -keyout PRIVATEKEY.key spécifie où enregistrer le fichier de clé privée.
  • -out MYCSR.csr spécifie où enregistrer le CSR fichier.
  • Avec ces deux derniers éléments, n'oubliez pas d'utiliser vos propres chemins et noms de fichiers pour la clé privée et CSR, pas les espaces réservés.

Après avoir tapé la commande, appuyez sur entrer. Une série d'invites vous sera présentée:

  • Commencez par créer et vérifier une phrase de passe. Souvenez-vous de cette phrase de passe car vous en aurez à nouveau besoin pour accéder à votre clé privée.
  • Vous serez maintenant invité à entrer les informations qui seront incluses dans votre CSR. Cette information est également connue sous le nom de Nom distingué, ou DNL’ Nom commun est obligatoire par SSL.com lors de la soumission de votre CSR, mais les autres sont facultatifs. Si vous souhaitez ignorer un élément facultatif, tapez simplement entrer quand il apparaît:
    • La Nom du pays (facultatif) prend deux lettres code postal.
    • La Nom de localité Le champ (facultatif) correspond à votre ville ou village.
    • La Nom de l'organisation Le champ (facultatif) correspond au nom de votre entreprise ou organisation.
    • La Nom commun champ (obligatoire) est utilisé pour le Nom de domaine complet (FQDN) du site Web que ce certificat protégera.
    • Adresse Email (Optionnel)
    • La Mot de passe du défi Le champ est facultatif et peut également être ignoré.

À la fin de ce processus, vous serez renvoyé à une invite de commande. Vous ne recevrez aucune notification indiquant que votre CSR a été créé avec succès.

ECDSA

Pour créer une clé privée ECDSA avec votre CSR, vous devez appeler un deuxième utilitaire OpenSSL pour générer les paramètres de la clé ECDSA.

Cette commande OpenSSL générera un fichier de paramètres pour une clé ECDSA 256 bits:

openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256 -out ECPARAM.pem
  • openssl genpkey exécute l'utilitaire openssl pour la génération de clé privée.
  • -genparam génère un fichier de paramètres au lieu d'une clé privée. Vous pouvez également générer une clé privée, mais en utilisant le fichier de paramètres lors de la génération de la clé et CSR garantit que vous serez invité à entrer une phrase de passe.
  • -algorithm ec spécifie un algorithme de courbe elliptique.
  • -pkeyopt ec_paramgen_curve:P-256 choisit une courbe de 256 bits. Si vous préférez une courbe de 384 bits, remplacez la partie après les deux points par P-384.
  • -out ECPARAM.pem fournit un chemin et un nom de fichier pour le fichier de paramètres.

Maintenant, spécifiez votre fichier de paramètres lors de la génération du CSR:

openssl req -newkey ec: ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr

La commande est la même que celle utilisée dans l'exemple RSA ci-dessus, mais -newkey RSA:2048 a été remplacé par -newkey ec:ECPARAM.pem. Comme auparavant, vous serez invité à entrer une phrase de passe et des informations sur le nom distinctif pour le CSR.

Si vous le souhaitez, vous pouvez utiliser la redirection pour combiner les deux commandes OpenSSL en une seule ligne, en ignorant la génération d'un fichier de paramètres, comme suit:

openssl req -newkey ec: <(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve: P-256) -keyout PRIVATEKEY.key -out MYCSR.csr

Suivant Étapes

Pour plus d'informations sur l'installation de votre certificat, lire ici, pour la liaison avec IIS 10, lire ici. 

Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.