Obtenir un certificat serveur (X509 / SSL), créer la demande de certificat : le CSR (Certificate Signing Request)
Préambule
Nous vous recontacterons alors pour vous délivrer un certificat clef-en-main.
Etape 0 : Vérifiez que votre serveur supporte SSL
Tout d'abord vérifiez que votre serveur supporte SSL ou TLS.
Si vous n'êtes pas l'hébergeur, sachez que vous ne pourrez pas demander de certificat sans son assistance
sauf si vous avez une interface de gestion qui le permet (prenez donc contact avec lui pour vérifier s'il propose du SSL).
Etape 1 : Générez votre fichier de demande de certificat (CSR - PKCS #10)
Il est recommandé de générer une clef publique de 2048-bit au minimum : L'ANSSI et le NIST imposent l'usage de clef de 2048 bits ou plus depuis le 1er janvier 2011, Plus d'informations ici.
Lors de la demande de certificat vous allez générer une clé privée. Dès que cette clé est générée, faites en une copie de sauvegarde et protégez-la très sérieusement. Vérifiez exactement comment sauvegarder cette clef privée avec le fournisseur de votre logiciel serveur. Si cette clé tombe entre de mauvaises mains votre sécurité est compromise et il faudra révoquer votre certificat. Si vous perdez la clef vous ne pourrez plus utiliser ce certificat.
Lors de la génération de CSR, un certain nombre de champs vous seront proposés pour y saisir les informations. Il est vivement recommandé d'avoir les Documents probant pour l'audit sous la main pour bien remplir les champs. Toute erreur dans la saisie d'un champ entraine forcement du retard !
Hébergeurs : le certificat est toujours au nom de votre client, c'est donc des documents de votre client dont on parle.
-
CN : Common name / domain name / nom du serveur /FQDN :
ici il faut indiquer le nom de votre serveur SSL, par exemple "secure.entreprise.fr", ou "www.mon-domaine.fr" ou www.produit.com. Pas d'adresse IP (en savoir plus). Pas d'espace ou de caractère blanc.
Dans le cas ou vous souhaitez commandez un certificat multi-domaines / SANs , inscrivez dans le CSR qu'une seule adresse, la principale, celle qui ne pourra plus être changé le temps de la durée de vie de votre certificat (C'est dans notre formulaire de commande que vous pourrez ensuite saisir les autres adresses à sécuriser, pouvant ainsi être mises à jour lors des re-fabrications).
N.B.: L'utilisation de certificats contenant une adresse IP réservée ou un nom interne (xxx.local, nom_de_machine) est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité (en savoir plus).
-
O : Organisation / Company Name :
écrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules. -
ST : State / Département :
en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro). -
L : Location / City / Ville :
indiquez la ville où se trouve le siège social de votre société. -
C : Country / Pays :
indiquez FR si votre société est basée en France, BE pour la Belgique, etc, de préférence en majuscules. -
OU : Organisational unit / Division / Branche :
Nous recommandons de laisser ce champs vide ou, à défaut, indiquer un terme générique comme "Service Informatique".
A noter : certains champs sont susceptibles d'être modifié par l'autorité, car elles appliquent leurs propres politiques lors des émissions de certificats. Vous trouverez plus d'informations sur cette page : Les champs des certificats standards
- Assuré par Keybot, ce service (gratuit)
génère la clé privée et le CSR puis nous transmet directement ce dernier.
Il suffit de sélectionner la méthode "Automatique" et de cliquer sur le bouton "Générer CSR".
Lors de la délivrance du certificat vous pourrez ainsi obtenir votre certificat dans un fichier standard "PFX" que vous pourrez importer simplement sur la plupart des serveurs / logiciels du marché. - Générer un CSR pour Apache
Générer votre ligne de commande avec notre outil d'aide à la création de CSR.
Distributions Linux : ArchLinux, CentOs, Debian, Fedora, Mandriva, Open Suse, Gentoo, Red Hat, Ubuntu, Slackware, ... Mais aussi BSD, Mac OS X, EasyPhp, distributions WAMP, ... - Générer un CSR ECC pour Apache avec OpenSSL
- Générer un CSR pour Plesk 6, 7 et 8
- Générer un CSR pour Plesk 9 et 10
- Générer un CSR pour Plesk 12
- Générer un CSR pour Plesk 17 (Onyx)
- Générer un CSR pour Axway CFT
- Générer un CSR pour API Axway Gateway
- Générer un CSR avec Axway SecureTransport
- Générer un CSR pour Cisco ASA
- Générer un CSR pour Cisco Ironport
- Générer un CSR sur Cisco ISE
- Générer un CSR pour Cisco Unified Communications Manager (CUCM)
- Générer un CSR pour Cisco ExpressWay X7.2.2 et X8.1
- Générer un CSR pour Citrix Access Essentials
- Générer un CSR pour Citrix Access Gateway
- Générer un CSR pour Citrix Netscaler
- Générer un CSR pour Citrix Secure Gateway
- Générer un CSR avec Microsoft IIS4
- Générer un CSR avec Microsoft IIS5 ou IIS6
( Windows Serveur 2003, XP Professionnel) - Générer un CSR avec Microsoft IIS7 / IIS8
( Windows serveur 2008, Windows Serveur 2012 / 2013, ... ) - Générer un CSR avec Microsoft IIS8.X/10.X
( Windows Serveur 2012/2016 ) - Générer un CSR pour Microsoft ISA
- Générer un CSR pour Microsoft TMG
- Générer un CSR pour Microsoft Exchange 2007
- Générer un CSR pour Microsoft Exchange 2010/2013/2016/2019
- Générer un CSR pour Microsoft Lync 2010
- Générer un CSR pour Skype for Business Server 2015 (Anciennement Lync)
- Générer un CSR pour Microsoft Small Business Server 2008
- Certificat pour LDAPS avec Active Directory (support Microsoft)
- Générer un CSR pour Apache sur Windows
- Générer un CSR depuis Windows Server avec la MMC de certificats
- Générer un CSR avec certreq sous Windows Server
- Générer un CSR pour serveurs basés sur OpenSSL (Certificats format PEM)
(Open LDAP, Courier IMAP, Cyrus IMAPD, squid, Postfix TLS, Qmail TLS, Sendmail TLS, NGINX, FileZilla FTP Server, ...) - Notre outil d'aide à la création de CSR pour créer la ligne de commande et générer un CSR
- Installer OpenSSL sur un poste Windows
(sur les serveurs linux et assimilés les outils OpenSSL sont la plupart du temps déjà installés) - Générer un CSR pour Domino
- Générer un CSR pour Tomcat
- Générer un CSR avec Sophos Mobile
- Générer un CSR avec Sophos XG Firewall
- Générer un CSR pour Axiliance RealSentry v2 ou v3, ou Bee-Ware i-Sentry v3 ou v4
- Génération d'un CSR pour Barracuda Networks
- Générer un CSR pour Bluecoat
- Générer un CSR pour Cegid Web Access Server
- Générer un CSR pour F5
- Générer un CSR pour Juniper Networks Secure Access
- Générer un CSR pour Kerio Webstar 5
- Générer un CSR pour la plateforme Fastream
- Générer un CSR pour Checkpoint VPN
- Générer un CSR pour les Firewalls NETASQ (NG1000-A, NG5000-A, ...)
- Générer un CSR pour VMWARE VIEW 5.0 ou inférieur
- Générer un CSR pour VMWARE VIEW/Horizon 5.1 ou supérieur
- Générer un CSR pour Barracuda Networks product
- Générer un CSR pour les produits Synology / Synology NAS
- Générer un CSR pour FileZilla FTP Server
- Générer un CSR pour Zimbra
- Générer un CSR pour FireWall FORTIGATE
- Générer un CSR pour Wordpress
- Générer un CSR pour 4D server / Business Kit
- Générer un CSR pour IBM HTTP
- Générer un CSR pour Sonicwall
- Générer un certificat pour Pfsense
- Genérer un CSR pour Palo Alto
- Générer un CSR avec WHM 11.54-56
- Générer un CSR pour Kemp
- Générer un CSR avec cPanel 11.54-56
- Générer un CSR pour Pulse Secure
- Générer un CSR sur SAP
- Générer un CSR depuis FileMaker Server
- Générer un CSR sur Serv-U MFT
TBS KEYBOT - Mode automatique pour Générer un CSR pour tous serveurs
Apache :
Axway
Cisco :
Citrix :
Microsoft:
OpenSSL et serveurs basés sur OpenSSL :
IBM
Java et consors:
Sophos
Autres logiciels serveur, routeur, proxy :
Hébergeurs et plates-formes d'hébergements :
Questions courantes :
- Génération et installation d'un CSR pour un logiciel non-compatible 2048 bits.
- Compatibilité des certificats serveurs avec les navigateurs
- Avez-vous des certificats de test ?
- Est-il possible de mettre plusieurs sites SSL sur la même machine ?
- Est-il possible de dupliquer mon certificat sur plusieurs serveurs ?
- Quelles sont les limitations des certificats Wildcard ou OmniDomaine ?
- L'analyse du CSR à échoué
- Noms de domaines (FQDN / SANs) accentués
- J'ai reçu une demande de correction du CSR
Autres instructions de génération de CSR
- Demande de certificat serveur RGS avec OpenSSL
- BEA WebLogic 6.1
- BEA WebLogic 8.1
- HCL (IBM/Lotus) Notes Traveler
- Oracle Web server (OSA 4.0.8)
- Redhat
- Sun Java web server
- WebSTAR/SSL
- Stalker CommuniGate Pro
- Certificat pour LDAPS avec Active Directory
- Checkpoint Connectra
- Novell Mobility Connector
- Documentation Thawte
- Génération de CSR sur NAS Synology
Dernière modification le 26/04/2021 13:51:37 --- [Chercher]