Noms de domaines (FQDN / SANs) accentués
Utilisation du Punycode
Le punycode est un encodage utilisé et recommandé pour les noms de domaine internationalisés. Il transforme une chaîne Unicode en chaîne ASCII de manière unique et réversible.
Exemple : Le domaine "domaine-accentué.fr" deviendra "xn--domaine-accentu-pnb.fr" (xn-- indique qu'il s'agit d'un domaine internationalisé).
Transformer son domaine en punycode
Nous vous proposons plusieurs solutions pour transformer vos domaines accentués en punycode :
- Notre outil d'aide à la création de CSR : si votre domaine contient un caractère accentué, l'assistant transformera automatiquement le CN en format punycode
- Encoder votre CN en punycode via ce site : http://www.freesitemapgenerator.com/idn-to-punycode.html
Autre solution : Activer l'UTF8 sur OpenSSL
Une autre solution consiste à générer un CSR avec l'encodage UTF8.
Pour activer l'UTF8 avec les outils OpenSSL, il faut mettre à jour le fichier de configuration par défaut d'openSSL : openssl.cnf
Dans ce fichier, il vous suffit dans le rubrique [req] d'affecter la variable string_mask = utf8only. Exemple :
[ req ] default_bits = 2048 default_keyfile = privkey.pem # This sets a mask for permitted string types. There are several options. # default: PrintableString, T61String, BMPString. # pkix : PrintableString, BMPString. # utf8only: only UTF8Strings. # nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings). # MASK:XXXX a literal mask value. # WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings # so use this option with caution! #string_mask = nombstr string_mask = utf8only
Ensuite en ré-executant le commande OpenSSL, le demande de certificat sera générée en UTF8.
Par exemple :
openssl req -new -newkey rsa:2048 -nodes -out wild.dom-accentué.fr.csr \ -keyout wild.dom-accentué.fr.key \ -subj "/C=FR/ST=Calvados/L=Caen/O=TBS-INTERNET/CN=*.dom-accentué.fr"
Pour vérifier le détail du CSR et son encodage, vous pouvez utiliser la commande suivante :
openssl req -text -noout -in wild.dom-accentué.fr.csr -nameopt sep_multiline,utf8,show_type