Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus
Autres activités


Faille de sécurité Heartbleed - OpenSSL 1.0.1 -> Voir ici

Générer un CSR pour Apache avec OpenSSL

Ces instructions sont valables pour tous les serveurs utilisant ApacheSSL ou Apache+mod_ssl ou Apache 2. Par contre, n'utilisez pas ces instructions pour les serveurs avec une surcouche (Cobalt, Plesk, etc.) ou Tomcat Générer un CSR pour Tomcat .

Nouveau : Utilisez notre générateur de ligne de commande

Pour gagner du temps, vous pouvez désormais générer votre ligne de commande sur notre outil d'aide à la création de CSR. Il ne reste alors qu'un copier/coller à faire !

Pour une installation d'un certificat sur Apache Windows, vous aurez besoin d'un outil cryptographique pour générer la clef privée et le CSR. Pour cela vous pouvez utiliser "OpenSSL" : Installer OpenSSL sur un poste Windows

1- Créez la clef privée

  • Connectez-vous sous root et allez dans le répertoire de configuration de votre serveur Apache.
    Le plus souvent c'est :
    			cd /etc/httpd/conf
    			ou
    			cd /etc/apache/conf
    			
  • On va placer les fichiers de travail ici, mais vous pouvez choisir un autre répertoire.
  • On génére la clef avec la commande suivante en définissant un nom de fichier qui vous correspond :
    openssl genrsa 2048 > www.exemple.com.key

  • Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque démarrage d'apache, ajoutez

    "-des3"   après "genrsa").


  • Vous pouvez aussi améliorer la qualité de la clef en ajoutant après  "genrsa" les instructions

    "-rand/var/log/messages".

    Ceci permet d'introduire des nombres aléatoires.

Faîtes une copie de sauvegarde de ce fichier .key !

  • Protégez votre fichier en faisant :
    chmod 400 www.exemple.com.key

2- Créez la demande de certificat (CSR)

  • Utilisez cette commande pour générer le CSR :
    openssl req -new -key www.exemple.com.key > www.exemple.com.csr
  • Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur

    Country Name (2 letter code) []: (le plus souvent FR)
    State or Province Name (full name) [Some-State]: (le nom de votre département)
    Locality Name (eg, city) []: (le nom de votre ville)
    Organization Name (eg, company) []: (le nom de votre organisation)
    Organizational Unit Name (eg, section) []: (laisser vide -recommandé - ou entrer un terme générique comme "Service Informatique")
    Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
    Email Address []: (ne rien mettre)

  • Ne rien mettre dans d'éventuels champs "A challenge password" ou "An optional company name"

3- Suivez le processus de dépôt de demande

  • Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
  • Copiez/coller le contenu du fichier www.exemple.com.csr dans le formulaire.

Options de configuration et d'utilisation d'OpenSSL


OpenSSL et le SHA256

Par défaut, l'outil de cryptographie OpenSSL est configurés pour signer en SHA1.
Par exemple, si vous souhaitez signer un CSR en SHA256, il vous suffit d'ajouter dans la ligne de commande -sha256, comme ceci :

openssl req -new -newkey rsa:2048 -nodes -sha256 -out www.domaine.fr.sha256.csr -keyout www.domaine.key -subj "/C=FR/ST=DEPARTEMENT/L=VILLE/O=Raison sociale/CN=www.domaine.fr"

Liens utiles