Redirecting you to
Click if you are not redirected within 5 seconds
Recherche
USD
Français
Nous contacter
Essai gratuit
Article de blog oct. 12, 2023

Comment générer et soumettre une CSR (demande de signature de certificat SSL)

Une demande de signature de certificat (CSR) est essentielle pour obtenir des certificats SSL/TLS et garantir des communications en ligne sécurisées. Elle comprend des détails cruciaux tels que le nom de domaine complet (FQDN), le nom de l’organisation et la clé publique. Sectigo facilite la création et la validation de CSRs, offrant des outils comme OpenSSL et IIS Manager, et des solutions de gestion de cycle de vie des certificats pour sécuriser les sites web.

Table des Matières

1. Qu'est-ce qu'une demande de signature de certificat CSR ?
2. Quelles sont les règles à respecter ?
3. Importance des demandes de signature de certificat (CSR)
4. Comment générer une CSR sur différentes plateformes ?
5. Défis courants et conseils
6. Sécurisez votre site web avec Sectigo

Les certificats numériques sont indispensables pour assurer la sécurité des communications et des données en ligne. Les certificats SSL/TLS, en particulier, facilitent la confiance des utilisateurs en sécurisant les sites web, garantissant ainsi la protection des données de l'utilisateur, telles que les informations personnelles ou financières.

La valeur des certificats SSL est indéniable dans le paysage numérique actuel, où les menaces sont nombreuses, mais le processus d'obtention d'un certificat - et en particulier celui qui correspond aux besoins de votre entreprise - peut parfois sembler déroutant, voire carrément frustrant. Cela s'explique en partie par le volume de données qui est souvent requis dans le processus d'émission, en particulier lorsqu'il s'agit de l'aspect le plus compliqué et le plus essentiel de l'obtention d'un certificat numérique : la soumission d'une demande de signature de certificat (CSR).

Une fois que vous aurez compris comment fonctionnent les CSR et pourquoi elles sont importantes, il vous sera beaucoup plus facile de naviguer dans le processus de demande. Pour vous aider, nous allons vous expliquer tout ce que vous devez savoir sur les CSR : ce qu'elles sont, pourquoi elles sont importantes et comment les soumettre pour obtenir un certificat SSL/TLS.

Qu'est-ce qu'une demande de signature de certificat CSR ?

Une demande de signature de certificat (CSR) est un message crypté qui contient des informations essentielles sur la personne ou l'organisation souhaitant obtenir un certificat numérique. Il s'agit d'une solution standardisée pour l'envoi de clés publiques aux autorités de certification (AC) par le biais d'un fichier codé.

Une RSC est un élément essentiel de l'infrastructure à clé publique (ICP) et constitue essentiellement la première étape de la demande de certificats SSL/TLS.

Exigences CSR

Quelles sont les règles à respecter ?

Chaque CSR doit comporter quelques éléments clés, destinés à identifier le demandeur :

  • Le nom commun (CN) de l'organisation. Plus précisément, il s'agit du nom de domaine entièrement qualifié (FQDN) ou du nom de domaine absolu. Il indique l'emplacement exact dans le système de noms de domaine (DNS). Ce nom doit correspondre exactement à ce que vous tapez dans votre navigateur web, sinon vous risquez de recevoir une erreur de sécurité.
  • Le nom de l'organisation (O). À ne pas confondre avec le nom commun ou le FQDN, le nom de l'organisation fait simplement référence au nom légal ou au titre officiel de l'entreprise en question. Le cas échéant, il doit inclure les identifiants de l'entreprise. Dans le cas d'un CSR, le nom de l'organisation ne doit jamais être abrégé.
  • Unité d'organisation (OU). L'unité ou la division de l'entreprise/organisation qui gère le certificat.
  • Localité (L). Le CSR doit inclure les détails de la localité, c'est-à-dire la ville dans laquelle vous vous trouvez.
  • Nom de l'État ou de la province (ST). L'État ou la province dans lequel vous vous trouvez.
  • Pays (C). Le pays dans lequel vous vous trouvez.
  • Adresse électronique. Une adresse électronique associée à l'entreprise.

En plus des noms d'organisations et des détails de localisation, chaque CSR implique une clé publique, qui fonctionne comme la moitié de l'éventuelle paire de clés requise pour les certificats SSL. Le processus même de création d'une CSR entraîne la création de cette clé publique. Celle-ci sera jointe à la CSR.

Au cours de ce processus, une clé privée sera également créée. Contrairement à la clé publique, celle-ci ne doit pas être incluse dans la CSR ni mise à la disposition de l'autorité de certification. Elle doit être conservée jusqu'à la fin du processus, lorsqu'elle sera nécessaire pour installer le certificat SSL.

Les détails concernant le type et la longueur de la clé jouent également un rôle dans la CSR. Les principaux types de clés sont RSA et DSA, qui présentent tous deux des avantages distincts et des inconvénients potentiels. Alors que la clé RSA (Rivest-Shamir-Adleman) est généralement préférée pour la vérification et le cryptage rapides, la clé DSA (Digital Signature Algorithm) remplace la factorisation des nombres premiers de la clé RSA par le problème du logarithme discret. Le DSA est l'option la plus efficace pour la vérification et le décryptage. Si l'on opte pour l'algorithme RSA, il est préférable d'utiliser une longueur de bit de 2048. Le CA/Browser Forum définit les exigences de base actuelles pour les tailles de clés prises en charge.

Exemple de CSR

Les fichiers CSR sont généralement ouverts à l'aide d'éditeurs de texte. Ils comprennent des en-têtes et des pieds de page, destinés à indiquer le début et la fin de la demande. L'étalon-or actuel implique un format PEM (Privacy Enhanced Mail) basé sur la base 64. Classé comme un schéma d'encodage binaire-texte, ce format est largement considéré comme le format de facto pour l'envoi de clés cryptographiques.

Vous trouverez ci-dessous un exemple détaillé de ce que vous pouvez rencontrer, visuellement parlant, lorsque vous soumettez une CSR :

-----COMMENCER LA DEMANDE DE CERTIFICAT-----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-----FIN DE LA DEMANDE DE CERTIFICAT-----

Naviguer dans ces données textuelles denses peut être difficile, c'est pourquoi nous fournissons un accès à un outil de décodage CSR utile. Vous pouvez facilement l'utiliser pour vérifier si les détails contenus dans la CSR (tels que l'emplacement mentionné ci-dessus ou le nom de l'organisation) sont exacts.

Importance des demandes de signature de certificat (CSR)

La CSR représente l'une des premières et plus importantes étapes du processus d'obtention d'un certificat SSL/TLS. Les informations contenues dans la CSR permettent à l'autorité de certification de créer les certificats demandés.

À bien des égards, le rôle du CSR se résume à la confiance : en promouvant et en révélant l'authenticité du site web, cette ressource établit une base de confiance indispensable entre deux parties, l'autorité de certification et l'organisation qui demande le certificat SSL. Les autorités de certification se voient confier le pouvoir et la responsabilité de la vérification, et elles ne prennent pas cette autorité à la légère. C'est grâce aux CSR que les AC sont en mesure de faciliter la confiance collective dans l'ICP.

D'un point de vue pratique, les CSR sont importantes car, sans elles, il sera pratiquement impossible d'obtenir les certificats SSL/TLS dont on a tant besoin auprès d'AC de confiance. Ces certificats sont essentiels pour développer la confiance des clients, qui veulent être sûrs que leurs informations sont transmises en toute sécurité. La demande de signature de certificat constitue la base de cette relation de confiance.

Comment générer une CSR sur différentes plateformes ?

Maintenant que vous comprenez la valeur d'une CSR, il est temps de passer à l'étape suivante : produire et soumettre réellement la demande officielle. Cela peut s'avérer compliqué, en partie parce que la génération du code CSR peut sembler un peu différente d'une plateforme à l'autre. Chaque plateforme apporte des avantages et des défis distincts, mais nous avons mis en évidence quelques-unes des solutions les plus courantes ci-dessous :

OpenSSL

OpenSSL - un outil de ligne de commande open-source - fournit un cadre commun pour la recherche de CSR. Il est intéressant non seulement en raison de son statut de logiciel libre, mais aussi de sa relative facilité d'utilisation. Il est souvent utilisé pour produire des RSC via les environnements d'hébergement web Nginx et Apache. Cette stratégie est également particulièrement utile pour produire des CSR ECC (Elliptic Curve Cryptography Certificate Signing Requests).

Dans le cadre de l'approche OpenSSL, souvent privilégiée, la commande nécessaire se présente comme suit :

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Une fois invité à le faire, vous pouvez entrer les détails du CSR mentionnés ci-dessus, tels que l'emplacement et le FQDN. Un code d'accès n'est pas nécessaire, mais il peut s'avérer utile pour renforcer la sécurité.

Gestionnaire IIS

Une autre approche courante consiste à utiliser le gestionnaire de services d'information Internet (IIS) de Microsoft. Visitez la page Connexions dans le gestionnaire IIS, en passant par le menu Certificats de serveur, puis par la page Actions.

De là, la page Propriétés du nom distinctif fournira un outil de demande de certificat, où le FQDN et d'autres éléments essentiels peuvent être soumis. N'oubliez pas de mentionner la longueur de bit et le fournisseur cryptographique.

Autres options

Certaines organisations indiquent qu'elles préfèrent travailler avec des plateformes spécifiques pour générer des CSR. Quelle que soit la plateforme souhaitée, nous sommes heureux de fournir une assistance et des conseils à chaque étape du processus. Les autres options pour lesquelles nous fournissons des détails sur la génération sont les suivantes :

Défis courants et conseils

Souvent, le plus grand défi de la création d'un CSR consiste à lire et à comprendre la demande réelle lorsqu'elle est au format PEM recommandé. Les autres problèmes courants sont les suivants

  • Informations inexactes sur le nom. Il est essentiel de prêter attention aux détails lors de la création et de la soumission d'une CSR. C'est particulièrement important pour les détails de dénomination, y compris le FQDN et le nom légal de l'entreprise en question. D'où la nécessité d'un décodeur pour s'assurer que les noms sont correctement présentés.
  • Recherche de certificats SSL multi-domaines. La génération de CSR n'a pas besoin de causer des maux de tête continus lorsque vous cherchez à sécuriser plusieurs domaines. En cas de doute, les fichiers de configuration d'OpenSSL peuvent être ajustés pour inclure les noms Alt ou SAN. Comme toujours, les exigences varient en fonction du type de certificat et du niveau de validation souhaité.
  • Test et décodage de la CSR. Pour s'assurer que le CSR est prêt à être envoyé à l'autorité de certification souhaitée, utilisez un outil de décodage pour vérifier qu'il est formaté correctement. Sectigo offre un accès gratuit à un décodeur de CSR, afin que vous puissiez soumettre votre CSR en toute confiance et franchir l'une des étapes les plus cruciales vers l'obtention de certificats SSL/TLS.

Sécurisez votre site web avec Sectigo

Maintenant que vous êtes familiarisé avec le processus CSR, il est temps de déterminer quels certificats vous utiliserez pour protéger votre site web. Chez Sectigo, nous proposons un processus CSR simple, ainsi qu'une variété d'options pour l'obtention et la gestion des certificats numériques. Nos solutions de gestion du cycle de vie des certificats rationalisent le processus, afin que vous puissiez sécuriser les identités à grande échelle en toute confiance.

Nous vous recommandons également de lire notre ressource sur les différents types de certificats SSL afin de déterminer le certificat adapté à vos besoins. N'hésitez pas à nous contacter si vous souhaitez en savoir plus sur les CSR et le rôle qu'ils jouent dans l'obtention des certificats SSL.

Articles associés :