Générer un CSR avec certreq sous Windows Server
Certreq est un utilitaire de Microsoft destiné à gérer la création de clé privée et de requêtes de signature (CSR). Il est disponible depuis Windows Vista et Windows Server 2008. Voici la procédure à suivre pour générer une clé privée et un CSR :Étape 1 : Fichier de configuration
Il faut tout d'abord écrire un fichier de configuration qui sera lu par certreq pour générer votre CSR. Vous pouvez trouver ici notre template sur le quel il vous suffit d'éditer la ligne Subject. Ce fichier est valide pour les certificats serveur et développeur.Chaque champ du CSR est séparé par une virgule et est présenté sous la forme clé=valeur. Voici la liste des champs courrament acceptés :
-
CN: Common name / domain name / nom du serveur /FQDN :
ici il faut indiquer le nom de votre serveur SSL, par exemple "secure.entreprise.fr", ou "www.mon-domaine.fr" ou www.produit.com. Pas d'adresse IP (en savoir plus). Pas d'espace ou de caractère blanc.
Dans le cas ou vous souhaitez commandez un certificat multi-domaines / SANs , inscrivez dans le CSR qu'une seule adresse, la principale, celle qui ne pourra plus être changé le temps de la durée de vie de votre certificat (C'est dans notre formulaire de commande que vous pourrez ensuite saisir les autres adresses à sécuriser, pouvant ainsi être mises à jour lors des re-fabrications).
N.B.: L'utilisation de certificats contenant une adresse IP réservée ou un nom interne (xxx.local, nom_de_machine) est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité (en savoir plus).
-
O: Organisation / Company Name :
écrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules. -
ST: State / Département :
en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro). -
L: Location / City / Ville :
indiquez la ville où se trouve le siège social de votre société. -
C: Country / Pays :
indiquez FR si votre société est basée en France, BE pour la Belgique, etc, de préférence en majuscules. -
OU: Organisational unit / Division / Branche :
Nous recommandons de laisser ce champs vide ou, à défaut, indiquer un terme générique comme "Service Informatique".
Voici un exemple de ligne de configuration :
Subject = "C=FR, O=TBS Internet, L=Caen, ST=Calvados, CN=www.tbs-internet.com"
Cas des certificats RGS
Pour générer un CSR valide pour les commandes de certificats RGS, vous devez ajouter le champ "2.5.4.97=VOTRE_ORGANIZATION_IDENTIFIER" dans le champ Subject du template.Étape 2 : Exécuter certreq
Il vous suffit maintenant d'exécuter la commande suivante (en administrateur) :certreq -new tbsTemplate.inf monCSR.txtVous pouvez désormais saisir votre CSR dans votre formulaire de commande TBS CERTIFICATS.
Installer un certificat dont la clé a été générée avec certreq
Pour installer un certificat dont la clé a été générée à l'aide de cette méthode, vous devez installer votre certificat au format PKCS#7 (.p7b) en complétant l'installation avec certreq :certreq -accept C:\myCert.p7bVotre certificat sera alors lié à votre clé privée et sera désormais utilisable.
Liens Externes
Dernière modification le 02/11/2018 10:54:44 --- [Chercher]