Obtenir un certificat serveur (X509 / SSL), créer la demande de certificat : le CSR (Certificate Signing Request)
Préambule
Nous vous recontacterons alors pour vous délivrer un certificat clef-en-main.
Etape 0 : Vérifiez que votre serveur supporte SSL
Tout d'abord vérifiez que votre serveur supporte SSL ou TLS.
Si vous n'êtes pas l'hébergeur, sachez que vous ne pourrez pas demander de certificat sans son assistance
sauf si vous avez une interface de gestion qui le permet (prenez donc contact avec lui pour vérifier s'il propose du SSL).
Etape 1 : Générez votre fichier de demande de certificat (CSR - PKCS #10)
Il est recommandé de générer une clef publique de 2048-bit au minimum : L'ANSSI et le NIST imposent l'usage de clef de 2048 bits ou plus depuis le 1er janvier 2011, Plus d'informations ici.
Lors de la demande de certificat vous allez générer une clé privée. Dès que cette clé est générée, faites en une copie de sauvegarde et protégez-la très sérieusement. Vérifiez exactement comment sauvegarder cette clef privée avec le fournisseur de votre logiciel serveur. Si cette clé tombe entre de mauvaises mains votre sécurité est compromise et il faudra révoquer votre certificat. Si vous perdez la clef vous ne pourrez plus utiliser ce certificat.
Lors de la génération de CSR, un certain nombre de champs vous seront proposés pour y saisir les informations. Il est vivement recommandé d'avoir les Documents probant pour l'audit sous la main pour bien remplir les champs. Toute erreur dans la saisie d'un champ entraine forcement du retard !
Hébergeurs : le certificat est toujours au nom de votre client, c'est donc des documents de votre client dont on parle.
-
CN: Common name / domain name / nom du serveur /FQDN :
ici il faut indiquer le nom de votre serveur SSL, par exemple "secure.entreprise.fr", ou "www.mon-domaine.fr" ou www.produit.com. Pas d'adresse IP (en savoir plus). Pas d'espace ou de caractère blanc.
Même si nous le déconseillons, des adresses intranet peuvent être inscrites dans le CSR (en savoir plus)
Dans le cas ou vous souhaitez commandez un certificat multi-domaines / SANs , inscrivez dans le CSR qu'une seule adresse, la principale, celle qui ne pourra plus être changé le temps de la durée de vie de votre certificat (C'est dans notre formulaire de commande que vous pourrez ensuite saisir les autres adresses à sécuriser, pouvant ainsi être mises à jour lors des re-fabrications).
-
O: Organisation / Company Name :
écrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules. -
ST: State / Département :
en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro). -
L: Location / City / Ville :
indiquez la ville où se trouve le siège social de votre société. -
C: Country / Pays :
indiquez FR si votre société est basée en France, BE pour la Belgique, etc, de préférence en majuscules. -
OU: Organisational unit / Division / Branche :
s'il y a lieu, préciser la division de votre société qui possède ce serveur (texte libre).
- Générer un CSR pour Apache
Distributions Linux : ArchLinux, CentOs, Debian, Fedora, Mandriva, Open Suse, Gentoo, Red Hat, Ubuntu, Slackware, ... Mais aussi BSD, Mac OS X, EasyPhp, distributions WAMP, ... - Générer un CSR pour Plesk 6, 7 et 8
- Générer un CSR pour Plesk 10
- Générer un CSR pour Cisco ASA
- Installer un certificat serveur pour Cisco VPN 3000 series
- Générer un CSR pour Citrix Access Essentials
- Générer un CSR pour Citrix Access Gateway
- Générer un CSR pour Citrix Netscaler
- Générer un CSR pour Citrix Secure Gateway
- Générer un CSR avec Microsoft IIS4
- Générer un CSR avec Microsoft IIS5 ou IIS6
- Générer un CSR avec Microsoft IIS7
- Générer un CSR pour Microsoft ISA
- Générer un CSR pour Microsoft TMG
- Générer un CSR pour Microsoft Exchange 2007
- Générer un CSR pour Microsoft Exchange 2010
- Générer un CSR pour Microsoft Lync 2010
- Certificat pour LDAPS avec Active Directory (support Microsoft)
- Générer un CSR pour serveurs basés sur OpenSSL
(Open LDAP, Courier IMAP, Cyrus IMAPD, squid, Postfix TLS, Qmail TLS, Sendmail TLS, ...) - Notre assistant OpenSSL en ligne pour générer un CSR
- Générer un CSR pour Tomcat
- Générer un CSR pour Axiliance RealSentry v2 ou v3, ou Bee-Ware i-Sentry v3 ou v4
- Générer un CSR pour Axway CFT
- Génération d'un CSR pour Barracuda Networks
- Générer un CSR pour Bluecoat
- Générer un CSR pour Cegid Web Access Server
- Générer un CSR pour F5
- Générer un CSR pour Juniper Networks Secure Access
- Générer un CSR pour Kerio Webstar 5
- Générer un CSR pour la plateforme Fastream
- Générer un CSR pour Checkpoint VPN
- Générer un CSR pour les Firewalls NETASQ (NG1000-A, NG5000-A, ...)
- Générer un CSR pour VMWARE VIEW
- Générer un CSR pour Barracuda Networks product
Apache :
Cisco :
Citrix :
Microsoft:
OpenSSL et serveurs basés sur OpenSSL :
Java et consors:
Autres logiciels serveur, routeur, proxy :
Hébergeurs et plates-formes d'hébergements :
Questions courantes :
- Génération et installation d'un CSR pour un logiciel non-compatible 2048 bits.
- Compatibilité des certificats serveurs avec les navigateurs
- Avez-vous des certificats de test ?
- Est-il possible de mettre plusieurs sites SSL sur la même machine ?
- Est-il possible de dupliquer mon certificat sur plusieurs serveurs ?
- Quelles sont les limitations des certificats Wildcard ou OmniDomaine ?
- L'analyse du CSR à échoué
Autres instructions de génération de CSR
- Apache + Using mod_ssl on Mac OS X
- BEA WebLogic 6.1
- BEA WebLogic 8.1
- IBM HTTP
- Lotus Notes Domino R7
- Lotus Notes Domino 8.5
- Lotus Notes Traveler
- Oracle Web server (OSA 4.0.8)
- Redhat
- Sun Java web server
- WebSTAR/SSL
- Innosoft PMDF-TLS
- Stalker CommuniGate Pro
- Certificat pour LDAPS avec Active Directory
- Checkpoint Connectra
- Documentation Thawte
Dernière modification le 21/03/2012 15:13:35 --- [Chercher]
