Faille de sécurité Heartbleed - OpenSSL 1.0.1 -> Voir ici
Générer un CSR ECC pour Apache avec OpenSSL
Ces instructions sont valables pour OpenSSL 0.98 et plus.
Préambule
Les certificats ECC peuvent présenter des problèmes de compatibilité avec serveurs et navigateurs (voir Limitations techniques des certificats ECC). Avant de commander ce type de certificats, nous vous recommandons de les tester. Utilisez notre gamme de produits SSL rapide et basique et obtenez votre certificat en quelques minutes !
Pour gagner du temps, vous pouvez également générer votre ligne de commande sur notre outil d'aide à la création de CSR. Il ne reste alors qu'un copier/coller à faire !
1- Créez la clef privée
-
Connectez-vous sous
root
et allez dans le répertoire de configuration de votre serveur Apache.
Le plus souvent c'est :
cd /etc/httpd/conf ou cd /etc/apache/conf
- On va placer les fichiers de travail ici, mais vous pouvez choisir un autre répertoire.
-
On génère la clef avec la commande suivante en définissant un nom de
fichier qui vous correspond :
openssl ecparam -out www.exemple.com.key -name prime256v1 -genkey
-
Si vous souhaitez que cette clef ait un mot de passe (qui vous sera
demandé à chaque démarrage d'Apache) :
openssl ec -in www.exemple.com.key -des3 -out www.exemple.com.key
Faîtes une copie de sauvegarde de ce fichier .key !
-
Protégez votre fichier avec :
chmod 400 www.exemple.com.key
2- Créez la demande de certificat (CSR)
-
Utilisez cette commande pour générer le CSR :
openssl req -new -sha256 -key www.exemple.com.key -nodes -out www.exemple.com.csr
-
Le système va vous demander de saisir des champs ; remplissez-les en
respectant les instructions données sur Obtenir un certificat serveur
Country Name (2 letter code) []: (le plus souvent FR)
State or Province Name (full name) [Some-State]: (le nom de votre département)
Locality Name (eg, city) []: (le nom de votre ville)
Organization Name (eg, company) []: (le nom de votre organisation)
Organizational Unit Name (eg, section) []: (laisser vide -recommandé - ou entrer un terme générique comme "Service Informatique")
Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
Email Address []: (ne rien mettre)
- Ne rien mettre dans d'éventuels champs "A challenge password" ou "An optional company name"
3- Suivez le processus de dépôt de demande
- Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande.
- Copiez/coller le contenu du fichier www.exemple.com.csr dans le formulaire. Le système détectera automatiquement le format du CSR pour fabriquer un certificat ECC.
Liens utiles
- Générer votre ligne de commande avec notre outil d'aide à la création de CSR.
- Installer un certificat Apache