Comment générer la CSR
Ce dont vous avez besoin
Pour générer une CSR vous aurez besoin d’un accès à un terminal UNIX sur une machine avec OpenSSL installé, ou un équivalent. Il n’est pas nécessaire d’utiliser spécifiquement la machine sur laquelle sera installé le certificat pour générer la CSR.
Ou csrgenerator.com en ligne.
Quelques exemples de machines :
- Votre ordinateur habituel, si vous utilisez Linux ou OS X / macOS.
- Un serveur Gandi Cloud.
- un Hébergement Web(même si vous comptez utiliser le certificat chez un hébergeur externe)[¹]
- Un serveur de production (accessible) tournant sous Unix ou Linux
- Un ordinateur Windows sur lequel OpenSSL Windows est installé.
- csrgenerator.com
[¹] Vous pouvez par exemple profitez de la période d’essai de 10 jours sur un hébergement si vous ne l’avez jamais utilisée.
Définir le « Common Name »
Lors de la génération de la CSR il vous sera demandé le « Common Name » (Nom Commun). Il s’agit du nom de domaine principal, ou de l’adresse principale que vous voulez sécuriser avec votre certificat. Vous trouverez de plus amples informations ici :
https://docs.gandi.net/fr/ssl/creation/common_name_fr.html#ssl-creation-common-name-fr
Pour générer la CSR vous pouvez copier / coller la commande ci-dessous dans votre terminal sur n’importe laquelle des machines présentées ci dessus :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr -utf8
Certains des éléments de cette commande sont expliqués ci-dessous. Vous pouvez lire la documentation relative à OpenSSL (en Anglais) : https://www.openssl.org/docs/man3.0/man1/openssl-req.html
-newkey rsa:2048 : Génère un requête CSR et une clé privée utilisant le chiffrement RSA sur 2048 bits. Si vous voulez utiliser ce certificat sur un Hébergement Web Gandi, seul le chiffrement sur 2048 bits sera utilisable.
- -sha-256 : Utilisez l'algorithme SHA-256 ou SHA-2. Suite à la dépréciation des certificats utilisant SHA-1 notre partenaire Sectigo délivrera automatiquement des certificats SHA-2, que la CSR soit signée SHA-1 ou SHA-2.
- -keyout myserver.key : Sauvegarder le fichier de clé privée sous le nom « myserver.key », dans le répertoire où la commande a été exécutée. Vous pouvez modifier ce nom (paramètre) pour plus de clarté et de suivi[²].
- -out server.csr : Sauvegarder le fichier de CSR sous le nom « server.csr », dans le répertoire où la commande a été exécutée. Vous pouvez modifier ce nom (paramètre) pour plus de clarté et de suivi[²].
- -utf8: Cette option entraine l’interprétion des valeurs de champ en tant que chaînes UTF8. Utilisé pour les domaines IDN (accentués).
Après avoir lancé la commande, il vous sera demandé d’entrer vos données d’identification. Ce sont les données qui vont être vérifiées par l’Autorité de Certification lorsqu’ils autoriseront la délivrance de votre certificat SSL. Ces informations comprennent :
- Country Name : nom du pays, sous forme du code de deux lettres (FR pour FRance, US pour United States, etc…)
- State or Province Name : Entrez le nom de votre état, région ou province. N’entrez pas d’abréviation.
- Locality Name : Entrez le nom de votre ville ou commune.
- Organization Name : Entrez le nom de votre société, organisation par exemple votre raison sociale ou le nom de votre association. Ce champ est optionnel pour les SSL standards, mais obligatoire pour les certificats Pro ou Business.
- Organization Unit Name : Entrez un nom d’organisation au sein de votre société, comme département informatique par exemple.
- Common Name: Entrez le nom de domaine (example.com) ou adresse (dev.example.com) que vous voulez sécuriser. Pour de plus amples détails référez-vous à la section précédente de cette page.
- E-mail Address: Entrez une adresse E-mail. Cette information n’est pas obligatoire, mais recommandée.
- A challenge password : Cette option est rarement utilisée. Nous vous recommandons de laisser le champ vide.
- An optional company Name: Nous vous recommandons de laisser ce champ vide.
Une fois que la commande aura fini son exécution, vous trouverez deux fichiers : un fichier public .csr et une clé privée .key. Cette clé privée doit absolument être gardée secrète. Seul vous devez avoir accès à ce fichier et il sera nécessaire pour l’installation du certificat. Elle ne peut pas être remplacée ou substituée. Sa divulgation peut entraîner la révocation de votre SSL.
Ouvrir et copier le fichier CSR
Une fois la CSR générée, vous devriez être en mesure de copier son contenu et de le coller dans le champ concerné de l’interface Gandi lors de la procédure de commande. Vous pouvez ouvrir le fichier avec un simple éditeur de texte, ou via la commande cat monserveur.csr sur un terminal. Lors de la copie soyez certain de sélectionner l’intégralité du contenu, y compris :
-----BEGIN CERTIFICATE REQUEST-----
… texte ….
-----END CERTIFICATE REQUEST-----
Note
Le fichier .csr contient la CSR et le fichier .key contient la clé privée. Ils ne sont pas interchangeables. Il est donc important d’utiliser le bon fichier lors de votre commande. De même les deux étant liés si vous générez plusieurs CSR prenez garde à ne pas mélanger les clés privées.