Générer une paire de clés et une CSR avec OpenSSL

Tout d’abord, placez-vous dans le répertoire qui va les contenir. Idéalement, créez un répertoire dédié au stockages des clés pour Apache, NGINX, … :

cd /etc/ssl/keys

Pour créer votre clé privée et votre CSR d’une seul coup, exécutez la commande suivante pour générer votre clé privée (vous pouvez nommer vos fichiers .KEY et .CSR comme vous le souhaitez mais par convention, il est souhaitable de les nommer de la même manière que le domaine associé) :

openssl req -sha256 -nodes -newkey rsa:2048 -keyout www.mydomain.com.key -out www.mydomain.com.csr

Une fois validé avec “Entrée”, OpenSSL vous demandera de remplir les champs nécessaires à la création de la CSR :

  • Country name (2 letter code): FR (le code pays en majuscules)
  • State or Province Name (full name): Herault (le nom complet / le nom de la province ou de l’État)
  • Locality Name (city): Montpellier (le nom de la ville / commune où l’entreprise est située)
  • Organization name: Ma petite entreprise (le nom d’entreprise, comme inscrite au registre de la Chambre du Commerce)
  • Organizational Unit Name (section): Informatique (le nom de la section))
  • Common Name (server FQDN or Your name): www.mydomain.com (le nom commun est le domaine auquel le certificat est destiné. Si la CSR est créée pour un certificat Wildcard, tapez ‘*.mydomain.com’ ici.)
  • Email address: (l’adresse email qui sera affichée dans le certificat – je recommande de ne pas remplir ce champ)
  • A challenge password: (Ce champ doit être laissé vide. Appuyez sur Entrée.)
  • An optional company name: (Ce champ doit être laissé vide. Appuyez sur Entrée.)

Exécutez la commande ‘ls -l’ pour vérifier. Vous devriez avoir obtenu votre clé privée (.key) et votre demande de certificat (.csr) :

-rw-r-r-1 root root 1.1k May 16 13:24 www.mydomain.com.csr
-rw-r-r-1 root root 1.7k May 16 13:24 www.mydomain.com.key

Gardez-bien ces fichiers en sécurité.
Le fichier www.mydomain.com.csr est votre CSR. Vous pouvez l’utiliser pour passer une commande pour votre Certificat SSL. Affichez le fichier CSR avec la commande suivante:

cat www.mydomain.com.csr

Ceci donne un résultat qui ressemble l’exemple suivant:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Vous n’avez plus qu’à transmettre la CSR et les autres informations demandées par l’Autorité de Certification.

Suivez enfin les étapes de votre fournisseur pour obtenir votre certificat.

2 réflexions sur “Générer une paire de clés et une CSR avec OpenSSL

  1. Bonjour,

    J’ai terminé la configuration d’un Exchange 2019. Tout semble bon sauf que les courriels ne partent pas et n’arrivent pas.

    Dans la boite à outil j’ai le message suivant : Message différé par l’agent catégoriseur.

    J’ai procédé aux vérifications suivantes :
    – La redirection des ports 25 et 443 vers le serveur Exchange : OK
    – Le certificat : OK
    – Le reverse DNS chez le FAI : OK
    – Test de connectivité sur https://testconnectivity.microsoft.com/tests/exchange : avec l’avertissement suivant :
    “L’analyseur de connectivité de Microsoft peut uniquement valider la chaîne de certificats à l’aide de la fonctionnalité de mise à jour des certificats racine de Windows Update. Il se peut que votre certificat ne soit pas approuvé sur Windows si la fonctionnalité « Mettre les certificats racine à jour » n’est pas activée.”

    Quelque chose m’échappe mais je ne vois pas quoi.
    Merci 😉

    • Bonjour,
      Un avertissement n’est pas une erreur.
      Souvent cet avertissement apparait lorsque le certificat SSL installé n’est pas reconnu par les Autorités de Certification fournies par Microsoft.
      Cet avertissement peut être ignoré sans risque si vous arrivez à vous connecter en https depuis un navigateur, sans erreur de certificat.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.