Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Obtenir un certificat serveur (X509 / SSL), créer la demande de certificat : le CSR (Certificate Signing Request)

Préambule

Si ça vous parait trop compliqué remplissez le formulaire de demande de certificat et cochez la case 'option accompagnement' (Accéder à un formulaire de demande).
Nous vous recontacterons alors pour vous délivrer un certificat clef-en-main.

Etape 0 : Vérifiez que votre serveur supporte SSL

Avant de chercher à obtenir un certificat pour un serveur, diverses vérifications sont nécessaires.
Tout d'abord vérifiez que votre serveur supporte SSL ou TLS.
Si vous n'êtes pas l'hébergeur, sachez que vous ne pourrez pas demander de certificat sans son assistance
sauf si vous avez une interface de gestion qui le permet (prenez donc contact avec lui pour vérifier s'il propose du SSL).

Etape 1 : Générez votre fichier de demande de certificat (CSR - PKCS #10)

Vous devrez utiliser une fonction de ce serveur pour générer une demande de certificat (CSR, Certificate Signing Request). Recherchez la section détaillant cette opération dans l'aide et les manuels de votre logiciel. Vous trouverez ci-dessous des instructions résumées pour les serveurs les plus courants.
Il est recommandé de générer une clef publique de 2048-bit au minimum : L'ANSSI et le NIST imposent l'usage de clef de 2048 bits ou plus depuis le 1er janvier 2011, Plus d'informations ici.

Lors de la demande de certificat vous allez générer une clé privée. Dès que cette clé est générée, faites en une copie de sauvegarde et protégez-la très sérieusement. Vérifiez exactement comment sauvegarder cette clef privée avec le fournisseur de votre logiciel serveur. Si cette clé tombe entre de mauvaises mains votre sécurité est compromise et il faudra révoquer votre certificat. Si vous perdez la clef vous ne pourrez plus utiliser ce certificat.

Lors de la génération de CSR, un certain nombre de champs vous seront proposés pour y saisir les informations. Il est vivement recommandé d'avoir les Documents probant pour l'audit sous la main pour bien remplir les champs. Toute erreur dans la saisie d'un champ entraine forcement du retard !
Hébergeurs : le certificat est toujours au nom de votre client, c'est donc des documents de votre client dont on parle.

  • CN: Common name / domain name / nom du serveur /FQDN :
    ici il faut indiquer le nom de votre serveur SSL, par exemple "secure.entreprise.fr", ou "www.mon-domaine.fr" ou www.produit.com. Pas d'adresse IP (en savoir plus). Pas d'espace ou de caractère blanc.

    Dans le cas ou vous souhaitez commandez un certificat multi-domaines / SANs , inscrivez dans le CSR qu'une seule adresse, la principale, celle qui ne pourra plus être changé le temps de la durée de vie de votre certificat (C'est dans notre formulaire de commande que vous pourrez ensuite saisir les autres adresses à sécuriser, pouvant ainsi être mises à jour lors des re-fabrications).

    N.B.: L'utilisation de certificats contenant une adresse IP réservée ou un nom interne (xxx.local, nom_de_machine) est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité (en savoir plus).

  • O: Organisation / Company Name :
    écrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules.

  • ST: State / Département :
    en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro).

  • L: Location / City / Ville :
    indiquez la ville où se trouve le siège social de votre société.

  • C: Country / Pays :
    indiquez FR si votre société est basée en France, BE pour la Belgique, etc, de préférence en majuscules.

  • OU: Organisational unit / Division / Branche :
    Nous recommandons de laisser ce champs vide ou, à défaut, indiquer un terme générique comme "Service Informatique".


Hébergeurs et plates-formes d'hébergements :


Questions courantes :


Autres instructions de génération de CSR