Demande de certificat utilisateur avec OpenSSL
Pour demander un certificat utilisateur avec OpenSSL, il suffit d'utiliser la même commande que pour un certificat serveur, mais avec un fichier de configuration différent, qui permet la saisie des champs optionnels et obligatoires correspondants à ces produits.-
On génére la clef avec la commande suivante en définissant :
openssl genrsa 2048 > votreclef.key
-
Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque utilisation, ajoutez
"-des3"après "genrsa").
Faîtes une copie de sauvegarde de ce fichier .key !
-
Protégez votre fichier en faisant :
chmod 400 votreclef.key
-
Utilisez cette commande pour générer le CSR en spécifiant le fichier CNF que vous aurez préalablement téléchargé ci-dessous :
openssl req -new -key votreclef.key -config FICHIER_CNF_CI_DESSOUS > votreclef.csr
Téléchargez le fichier de configuration OpenSSL (clic droit, enregistrer sous) adapté au certificat utilisateur que vous voulez générer :
Pour les certificats TBS X509 :
- Pour un certificat TBS X509 Sign & Login: openssl-dem-signlogin.cnf
- Pour un certificat TBS X509 Email Professionnel: openssl-dem-emailpro.cnf
- Pour un certificat TBS X509 Email Novice: openssl-dem-emailnovice.cnf
Pour les certificats Sectigo Personal :
- Pour un certificat Sectigo Personal Authentication Pro : openssl-dem-signlogin.cnf
- Pour un certificat Sectigo Personal Authentication Enterprise : openssl-dem-emailpro.cnf
Certificat serveur :
openssl req -new -nodes -newkey rsa:2048 -keyout nouvelleclef.key -subj '/CN=www.mon.dom/C=FR/ST=Calvados/L=Caen/O=MA BOITE SAS/OU=service informatique' -out moncsr.csrCertificat utilisateur (avec notre fichier de config) :
openssl req -config openssl-dem-client-cert.cnf -nodes -newkey rsa:2048 -keyout masuperclef.key -subj '/CN=NOM prenom/emailAddress=moi@maboite.com/O=MA BOITE SAS/L=Caen/ST=Calvados/C=FR' -out monsupercsr.csr
Liens utiles
Dernière modification le 13/06/2022 07:38:47 --- [Chercher]