La CSR est un fichier contenant les informations de votre demande de certificat, y compris votre clé publique. Vous devez générer cette clé à partir de votre serveur.
Vous pouvez aussi utiliser un terminal Linux ou OSX (sous réserve que openSSL soit installé), ou via la console SSL de votre instance Simple Hosting. Enfin il existe des installeurs OpenSSL pour windows. vez aussi utiliser un terminal Linux ou OS-X, votre console SSH (Simple Hosting). Pour les utilisateurs windows il existe un installeur openSSL.
Si vous utilisez le certificat sur notre offre Simple Hosting, il faudra que la clé soit en 2048 bits et pas au delà.
Depuis septembre 2014, vous avez la possibilité de créer des certificats utilisant SHA2.
Si vous choisissez d'utiliser SHA2, nous vous conseillons d'ajouter le certificat intermédiaire ainsi que le certificat cross signed sur votre serveur pour réduire les risques d'incompatibilité avec les navigateurs.
Le certificat délivré dépend du type de chiffrement associé à la CSR.
Par défaut, OpenSSL génère une CSR en SHA1, si vous souhaitez disposer d'un certificat SHA2, il suffira d'ajouter une option -sha256
ou -sha512
à la commande openssl
.
==== Générer une demande de certificat en SHA 1 ====
deprécié au 01/01/2017
openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr
Le processus va créer 2 fichiers : un public en .csr et un privé en .key qu'il faudra absolument garder
Country Name (2 letter code) [AU]: FR State or Province Name (full name) [Some-State]: . Locality Name (eg, city) []: Paris Organization Name (eg, company) [Internet Widgits Pty Ltd]: MaSociété Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: sousdomaine.domaine.tld Email Address []: A challenge password []: An optional company name []:
Les champs optional company name et challenge password sont facultatifs.
Il est préférable de remplir le champ Email Address.
sousdomaine.domaine.tld indique l'adresse que vous voulez protéger.
Pour les certificats multidomaines; il faut déclarer explicitement chaque domaine ou sous domaine à couvrir.
Le contenu des fichiers CSR et KEY générés vous sera alors demandé lors de la création de votre certificat.
Afin de l'entrer dans la fenêtre d'admin Gandi, il vous suffit d’exécuter
cat serveur.csr
afin d'afficher le contenu du fichier et de copier-coller celui-ci dans l'interface Gandi comme ci-dessous
-----BEGIN CERTIFICATE REQUEST----- ...encrypted text... -----END CERTIFICATE REQUEST-----
Vous pouvez de plus utiliser la commande cat sur le fichier monserveur.key afin d'afficher son contenu.
Prenez soin de bien copier le bloc entier
Afin de générer une CSR et une clé privée sur votre instance connectez-vous à la Console SSH.
Naviguez ensuite dans le dossier /srv/data/tmp :
$ cd /srv/data/tmp
Puis lancez la commande openssl comme indiqué.
Dans “panneau de configuration”, “outils d'administration”, sélectionnez le gestionnaire IIS. Faites un clic droit sur le site concerné, sélectionnez “Propriétés”. Dans l'onglet “Sécurité de répertoire” (Directory Security), cliquez sur “Certificat de serveurs” (Server certificate), choisissez “Créer un certificat” (Create a new certificate) et “Préparer la demande, mais ne pas l'envoyer maintenant” (Prepare the request now but send it later).
Le formulaire de création vous est maintenant proposé avec les mêmes champs que ci-dessus. Indiquez le fichier où stocker votre CSR en fin de processus. Il faudra alors copier-coller son contenu lors de l'activation du certificat dans l'interface Gandi.