SSLmentor

Certificats TLS/SSL de qualité pour sites Web et projets Internet.

Connexion
OpenSSL

OpenSSL

Génération de clés et demande de signature de certificat (CSR)

La création d'une clé privée et la demande d'un certificat (clé publique) peuvent être résolues dans OpenSSL avec une seule commande et en entrant les informations nécessaires. La demande de certificat (CSR) et la génération de clé privée peuvent également être facilement effectuées dans l'administration client SSLmentor.

OpenSSL

Pour travailler avec des certificats, vous devez avoir la bibliothèque OpenSSL installée. Consultez la page OpenSSL pour Windows et Mac OSX pour les instructions et les liens de téléchargement.

Génération d'une demande de certificat (CSR) et d'une clé privée

La commande crée une clé privée ainsi qu'une demande de certificat. Vous devez spécifier un chemin pour placer les fichiers dans un autre répertoire.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Pour la génération de clés et les demandes de certificat, il est important que la demande contienne les informations correctes. Choisir rsa: 2048 signifie définir la longueur de la clé. Pour une sécurité accrue, il est possible de définir rsa: 3072 ou rsa: 4096.
Important ! Vous devez toujours remplir le nom de domaine et le code pays selon la norme ISO. Laissez l'élément "Un mot de passe de défi" vide !

OpenSSL - génération de certificat

Vérification de la demande de certificat (CSR)

Pour vérifier que la demande de certificat (CSR) est correcte, nous pouvons exécuter la commande avec le paramètre "-verify" ajouté. Il est conseillé d'effectuer la vérification avant d'envoyer la demande à l'autorité de certification. Alternativement, nous recommandons de tester votre CSR à l'aide de l'outil de DigiCert - Vérifiez votre CSR.

openssl req -in request.csr -text -noout -verify

Informations saisies dans la demande de certificat

Les informations suivantes sont saisies lors de la génération des clés (un exemple de remplissage est donné après la flèche).

  • Common name [CN] : nom de domaine -> www.sslmentor.com
  • Organization [O] : nom exact de l'entreprise, propriétaire du domaine -> Web security s.r.o.
  • Organizational unit [OU] : département de l'entreprise -> internet / eshop / it / ...
    À partir du 1er septembre 2022, les certificats TLS publics n'auront pas de OU et ignoreront OU.
  • City/locality [L] : ville -> Prague
  • State/province [S] : -> République tchèque
  • Country/region [C] : code pays selon l'ISO -> CZ
  • Key Size : 2048 bits

Nous recommandons d'entrer le nom de domaine exactement tel qu'il est défini sur le serveur et tel qu'il apparaît dans le navigateur. Bien que les autorités de certification insèrent les deux variantes dans le certificat (avec et sans www avant le nom de domaine), les deux variantes ne sont pas insérées pour les certificats multidomaines.
Le nombre maximal de caractères pour le nom commun [CN] et l'organisation [O] est de 64. Vous pouvez trouver plus de règles sur les exigences de base et les violations de la RFC 5280.

Pays/Région [C] :
  • FR - France
  • GB - Grande-Bretagne
  • US - États-Unis d'Amérique
  • DE - Allemagne
  • CZ - République tchèque
  • HU - Hongrie
  • AT - Autriche
  • PL - Pologne

Le code pays doit être saisi exactement selon ISO en MAJUSCULES.
Un aperçu des codes pays ISO peut être trouvé sur le site web de l'Organisation internationale de normalisation www.iso.org.

Qu'est-ce qu'un mot de passe de défi ?

Lors de la génération du certificat, l'entrée "Un mot de passe de défi" est proposée. Laissez toujours vide, sinon l'AC rejettera la commande. Le mot de passe de défi est défini dans la RFC 2985 comme le mot de passe de révocation du certificat.

Informations minimales pour les certificats DV

Les certificats de domaine (DV) ne contiennent que des informations sur le domaine et toutes les autres données saisies dans la demande sont supprimées par l'autorité de certification.
Par exemple, les informations dans le corps SSL du certificat PositiveSSL sont uniquement :

  • CN = domain.com
  • OU = PositiveSSL
  • OU = Validation de contrôle de domaine

Les informations minimales à saisir pour les certificats de domaine afin qu'un certificat soit délivré sont le nom commun [CN] et le pays/région [C]. Cependant, nous vous recommandons de remplir toutes les informations en raison d'un éventuel rejet par une autorité de certification.

Quelle est la prochaine étape ?

Retour à l'aide
Vous avez trouvé une erreur ou vous ne comprenez pas quelque chose ? Écrivez-nous !

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum