Demande de certificat utilisateur avec OpenSSL

Pour demander un certificat utilisateur avec openssl, il suffit d'utiliser la même commande que pour un certificat serveur, mais avec un fichier de configuration différent, qui permet la saisie des champs optionnels et obligatoires correspondants à ces produits.

• On génére la clef avec la commande suivante en définissant :
  

  openssl genrsa 2048 > votreclef.key

• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque utilisation, ajoutez
  
  "-des3"   après "genrsa").

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 votreclef.key

• Utilisez cette commande pour générer le CSR en spécifiant le fichier CNF que vous aurez préalablement téléchargé ci-dessous :
  

  openssl req -new -key votreclef.key -config FICHIER_CNF_CI_DESSOUS > votreclef.csr

Téléchargez le fichier de configuration OpenSSL adapté au certificat utilisateur que vous voulez générer:

• Pour un certificat TBS X509 Sign & Login: openssl-dem-signlogin.cnf
• Pour un certificat TBS X509 Email Professionnel: openssl-dem-emailpro.cnf
• Pour un certificat TBS X509 Email Novice: openssl-dem-emailnovice.cnf

Pour générer facilement, rapidement un CSR avec openssl 0.9.7 ou supérieur, voyez ces astuces:

Certificat serveur:

openssl req -new -nodes -newkey rsa:2048 -keyout nouvelleclef.key -subj '/CN=www.mon.dom/C=FR/ST=Calvados/L=Caen/O=MA BOITE SAS/OU=service informatique' -out moncsr.csr

Certificat utilisateur (avec notre fichier de config):

openssl req -config openssl-dem-client-cert.cnf -nodes -newkey rsa:2048 -keyout masuperclef.key -subj '/CN=NOM prenom/emailAddress=moi@maboite.com/O=MA BOITE SAS/streetAddress=2 rue de Paradis/L=Caen/postalCode=14000/ST=Calvados/C=FR' -out monsupercsr.csr