Demande de certificat utilisateur avec OpenSSL
Pour demander un certificat utilisateur avec OpenSSL, il suffit d'utiliser la même commande que pour un certificat serveur, mais avec un fichier de configuration différent, qui permet la saisie des champs optionnels et obligatoires correspondants à ces produits.
- On génère la clef avec la commande suivante en définissant :
openssl genrsa 2048 > votreclef.key
- Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé
à chaque utilisation, ajoutez
"-des3"
après "genrsa").
Faites une copie de sauvegarde de ce fichier .key !
- Protégez votre fichier en faisant :
chmod 400 votreclef.key
- Utilisez cette commande pour générer le CSR en spécifiant le fichier CNF que
vous aurez préalablement téléchargé ci-dessous :
openssl req -new -key votreclef.key -config FICHIER_CNF_CI_DESSOUS > votreclef.csr
Fichiers de configuration
Téléchargez le fichier de configuration OpenSSL (clic droit, enregistrer sous) adapté au certificat utilisateur que vous voulez générer :
Pour les certificats DigiCert Mél Novice et Sectigo S/MIME MV :
Pour le certificat Sectigo S/MIME OV :
Pour le certificat DigiCert Authentification :
Pour les certificats DigiCert Mél Chiffrement, Signature et Premium :
Générer un CSR
Pour générer facilement, rapidement un CSR avec OpenSSL 0.9.7 ou supérieur, voyez ces astuces :
Certificat serveur :
openssl req -new -nodes -newkey rsa:2048 -keyout nouvelleclef.key -subj '/CN=www.mon.dom/C=FR/ST=Calvados/L=Caen/O=MA BOITE SAS/OU=service informatique' -out moncsr.csrCertificat utilisateur (avec notre fichier de config) :
openssl req -config openssl-dem-client-cert.cnf -nodes -newkey rsa:2048 -keyout masuperclef.key -subj '/CN=NOM prenom/emailAddress=moi@maboite.com/O=MA BOITE SAS/L=Caen/ST=Calvados/C=FR' -out monsupercsr.csr