1. Accueil
  2. Certificats
  3. Generer csr certificat ssl

Génération de la clé privée et de la CSR pour une demande de certificat serveur



Objectif

Cette procédure décrit les actions à mener afin de générer la clé privée et la CSR dans le but d’obtenir un certificat Serveur.



Pré-requis

  • Avoir les droits d’administrateur sur votre poste

En cas d’incompréhension, nous vous invitons à transmettre cette documentation à votre service technique ou prestataire technique



Introduction

Pour obtenir votre certificat serveur, vous devez générer votre clé privée et votre CSR (Certificate Signing Request) avec l’outil OpenSSL. Cette CSR doit être déposée sur certigna.com, lors du processus de demande du certificat.

Afin de générer ces éléments, vous devez suivre la procédure suivante :

  • Télécharger et installer OpenSSL
  • Lancer OpenSSL
  • Générer la clé privée
  • Générer la CSR

Vous trouverez également en fin de page des informations complémentaires sur la génération d’un fichier #PKCS12 à partir de votre clé privée et de votre certificat



Télécharger et installer OpenSSL sur Windows

Connectez-vous sur le site https://slproweb.com/products/Win32OpenSSL.html puis rendez-vous dans la rubrique « Download Win32/Win64 OpenSSL ».

La version OpenSSL light est suffisante pour effectuer les opérations de génération de clé et de CSR

  • Pour un système 64 bits, téléchargez l’EXE : Win64 OpenSSL v1.X.X Light
  • Pour un système 32 bits, téléchargez l’EXE : Win32 OpenSSL v1.X.X Light

Faites un double clic sur le fichier téléchargé pour lancer l’installation.

Vous devez disposer des droits d’administrateur sur votre poste pour lancer l’installation.

Lors de l’installation, laissez les options par défaut et indiquez, comme répertoire d’installation, les informations ci-dessous :

  • Pour un système 64 bits, téléchargez l’EXE : Win64 OpenSSL v1.X.X Light
  • Pour un système 32 bits, téléchargez l’EXE : Win32 OpenSSL v1.X.X Light

A la fin de l’installation, n’oubliez pas de décocher la phrase « One-time $10… ».

Pour certaines versions de Windows, vous devrez également installer "Visual C++ 2008 Redistribuable".



Exécuter OpenSSL

Afin de pouvoir générer votre clé privée et votre CSR, vous devez exécuter une « invite de commandes » pour exécuter OpenSSL (sur certaines configuration, le mot de passe administrateur peut vous être demandé) :

  • Cliquez sur le menu Démarrer ou appuyez sur la touche Win
  • Saisissez cmd. Le résultat de la recherche indique « Invite de commandes »
  • Cliquez dessus pour l'ouvrir ou tapez Entrée
    Ou faites un clic droit sur « invite de commande » et sélectionnez « Exécuter en tant qu’administrateur » pour ouvrir l’invite en mode admin

Vous devriez obtenir l’affichage suivant :

Vous devriez obtenir l’affichage suivant :


Pour la suite des commandes qui seront exécutées dans « l’invite de commandes », vous devrez spécifier le chemin d’accès à OpenSSL.

  • Pour la version 64 bits : C:\OpenSSL-Win64\bin
  • Pour la version 32 bits : C:\OpenSSL-Win32\bin

Si OpenSSL s’est installé dans un autre dossier, veuillez remplacer « C:\OpenSSL-Win64\ » ou « C:\OpenSSL-Win32\ » par le chemin d’installation d’OpenSSL sur votre système.



Générer une clé privée

Pour générer votre clé privée, exécutez la commande suivante (vous pouvez réaliser un copier/coller) :

C:\OpenSSL-Win32\bin\openssl.exe genrsa 2048 > request.key ou C:\OpenSSL-Win64\bin\openssl.exe genrsa 2048 > request.key

Pour rappel, seules les clés d’une taille de 2048 bits sont autorisées

Sauvegardez bien votre clé privée car elle devra être installée sur votre serveur lors de l’installation du certificat SSL. Pour information, la clé privée est générée dans le répertoire où a été lancée la commande (P:\> dans cet exemple).

Exemple d’affichage d’une clé générée dans le dossier « P:\> » avec OpenSSL installé dans le dossier « C:\OpenSSL-Win64\bin »

Exemple d’affichage d’une clé générée dans le dossier « P:\> » avec OpenSSL installé dans le dossier « C:\OpenSSL-Win64\bin »


Générer une CSR

Pour générer votre CSR, rendez-vous dans le même dossier que celui où vous venez de générer votre clé privée puis exécutez la commande suivante (vous pouvez réaliser un copier/coller) :

C:\OpenSSL-Win32\bin\openssl.exe req -new -key request.key > request.csr

OU

C:\OpenSSL-Win64\bin\openssl.exe req -new -key request.key > request.csr



Plusieurs questions vous seront posées :

Information Description Exemple
Country Name Correspond au code pays de votre entité (FR pour la France) FR
State or Province Name Département de votre entité Nord
Locality Ville de votre entité Lille
Organization Name Nom de votre entité Certigna
Organizational Unit Name Numéro d’identification de votre entité (Siret, numéro TVA, …) 48146308100036
Common Name Certificat SSL : l’adresse du site à protéger
Certificat Serveur Client et Cachet Serveur : le nom du service
Pour un SSL : www.certigna.com
Pour un Cachet : Signature de facture
Pour un Serveur Client : CHORUS PRO
Email Address Pour le certificat de type Cachet Signature uniquement,
cela correspond à l’email utilisé pour la signature des emails sortants
Pour le SSL : laissez vide
Pour le cachet : email@domain.com
A challenge password Mot de passe protégeant votre clé privée

Il faut savoir que pour une installation sur Apache, ce mot de passe vous sera demandé à chaque redémarrage. Laissez le vide si vous ne souhaitez pas définir de mot de passe de protection pour votre clé privée.

Si vous souhaitez commander un certificat avec des SAN (pour ajouter des sous-domaines ou des domaines), inscrivez une seule url dans la partie Common Name. Vous pourrez compléter votre demande avec les SAN dans le formulaire de demande de notre site web.

Ouvrez ensuite le contenu du fichier « request.csr », avec par exemple « Bloc-notes » de Windows, copiez l’intégralité du contenu et collez le sur l’interface de commande Certigna

Veuillez coller l’intégralité de la CSR avec l’entête « -----BEGIN CERTIFICATE REQUEST---- » et le pied « -----END CERTIFICATE REQUEST----- » 

Exemple :

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


Exemple d’affichage d’une CSR générée dans le dossier « P:\> » avec openssl installé dans le répertoire « C:\OpenSSL-Win64\bin » pour un certificat de type SSL.

Exemple d’affichage d’une CSR générée dans le dossier « P:\> » avec openssl installé dans le répertoire « C:\OpenSSL-Win64\bin » pour un certificat de type SSL.


Générer un PKCS12 avec ma clé et mon certificat

Lorsque votre certificat sera émis, vous serez invité à le télécharger depuis votre espace client.

Si vous souhaitez générer un fichier PKCS12 (.p12) à partir de votre certificat et de votre clé privée, veuillez suivre les étapes suivantes :



Etape 1 : récupérer les éléments sur votre espace client Certigna permettant de générer le fichier #pkcs12

  • Téléchargez votre certificat (certificat final) depuis votre espace client
  • Téléchargez le certificat d’autorité intermédiaire disponible dans votre espace client depuis le détail du certificat (« Mes commandes », « Certificat en cours de validité », « Télécharger l’autorité »)


Etape 2 : Convertir le fichier d’autorité intermédiaire

Cette commande permet de transformer le fichier « ACCertigna.der » au format DER en un nouveau fichier « ACCertigna.pem » au format BASE64 nécessaire à la suite de la procédure.

Ouvrez une « invite de commande » (cf. paragraphe ci-dessus « Exécuter l’invite de commande ») puis exécutez la commande suivante :

C:\OpenSSL-Win64\bin\openssl.exe x509 -inform der -in ACCertigna.der -out ACCertigna.pem

Avec : ACCertigna.der : Le fichier d’autorité téléchargé sur votre espace client à l’étape 1



Etape 3 : Génération du fichier #pkcs12

Exécutez la commande suivante :

C:\OpenSSL-Win64\bin\openssl.exe pkcs12 -export -out certificat.p12 -inkey privateKey.key -in certificate.crt -certfile ACCertigna.pem

Avec :

  • Certificat.p12 : le nom du P12 que vous souhaitez avoir (caractère alphanumérique uniquement)
  • privateKey.key : la clé privée que vous avez générée (via openssl si vous avez suivi notre procédure) lors de votre commande
  • certificate.crt : le fichier de certificat final qui a été téléchargé sur son espace client
  • ACCertigna.pem : le fichier de certificat de l’autorité intermédiaire généré via l’étape 2 ci-dessus

Un mot de passe vous est demandé. Celui-ci correspond au mot de passe que vous souhaitez définir pour protéger la clé privée de votre certificat.

Ce mot de passe vous sera demandé lorsque vous installerez votre fichier PKCS12 sur votre serveur !

Cas d’erreur :

  • Si vous obtenez le message d’erreur « No certificate matches private key », cela signifie que la clé privée ne correspond pas à celle utilisée lors de l’enregistrement de votre demande de certificat (Cf. la clé générée au chapitre « Générer une clé privée »)
  • Si vous obtenez le message « unable to load certificates », cela signifie que vous n’avez pas effectué l’étape 2 ci-dessus pour convertir le fichier d’autorité intermédiaire