Créer un certificat avec OpenSSL

Bonjour, aujourd’hui je vous propose un petit tutoriel que j’utilise régulièrement pour créer des certificats. Celui-ci va vous permettre de créer une demande de création de certificat. Indispensable pour faire votre demande auprès de votre autorité de certification. Puis avec le certificat, on verra comment intégrer la clé privée à celui-ci. Pour cela nous allons utiliser OpenSSL.

OpenSSL est un logiciel libre qu’il va donc vous falloir pour réaliser les manipulations. Il est disponible sur des machines linux via la commande suivante :

sudo apt-get install openssl

Vous pouvez aussi l’utiliser sous Windows, cependant les binaires ne sont pas gérés par OpenSSL mais par des sociétés tierces. Donc attention à vous mais je vous donner quand même le lien pour télécharger.

De mon côté, je vous conseille plutôt d’avoir une machine virtuelle sur votre Virtual Box ou VMWare Workstation et de faire les manipulations dessus.

Etape 1 : Création du CSR de votre certificat

Le CSR est un fichier de demande qui va contenir les informations de votre certificat, tous cela crypté bien entendu. Il est indispensable pour la création de votre certificat. Pour créer un csr, il faut d’abords créer la clé privée. Pour cela on tape la commande suivante :

openssl genrsa 2048 > www.exemple.com.key

Vous avez donc maintenant un fichier avec l’extension .key qui ressemble à cela si vous l’ouvrez dans un éditeur de texte.

On va maintenant utiliser cette clé privée pour générer le csr. Pour cela on tape la commande suivante :

openssl req -new -key www.exemple.com.key > www.exemple.com.csr

Cela va vous demander plusieurs informations à la création qu’il faut remplir en fonction de votre infrastructure.

• Country Name (2 letter code) []: ici il faut mettre les deux lettres de votre pays donc FR, CA, BE, US ….
• State or Province Name (full name) [Some-State]: le nom de votre département
• Locality Name (eg, city) []:  Votre ville
• Organization Name (eg, company) []: le nom de votre organisation
• Organizational Unit Name (eg, section) []: En général je mets le nom de l’organisation, sinon vous pouvez laisser vide
• Common Name (eg, YOUR name) []: le nom du site a sécuriser, donc www.exemple.com dans mon exemple
• Email Address []: je vous conseille de ne rien mettre ici

Cela va donc vous créer un fichier avec l’extension .csr qui ressemble à cela si vous l’ouvrez dans un éditeur de texte.

Gardez bien dans un endroit sur les deux fichiers car si vous les perdez, il faut recommencer.

Etape 2 : Faire la demande de certificat

Maintenant que vous avez un CSR, rendez-vous vers une autorité de certification (Gandi, OVH, 1&1, TBS …) et au moment de la création de votre certification, il va vous demander votre CSR, copier/coller le contenu du CSR dans le champ adéquat et finissez la génération de celui-ci. Bien entendu cela est payant et il faut renouveler le certificat tous les X années. X étant défini par votre autorité de certification (1an, 2 ans, …).

Une fois la génération fini, vous obtenez un fichier avec l’extension .crt.

Etape 3 : Ajouter la clé privée à votre certificat

Vous avez votre fichier .crt et aussi votre fichier .key que vous avez gardé précieusement. Il va falloir retourner sur votre terminal pour taper la commande suivante qui permettra d’intégrer la clé privée à votre certificat.

openssl pkcs12 -export -out www.exemple.com.pfx -inkey www.exemple.com.key -in www.exemple.com.crt

On vous demandera un mot de passe pour la clé privée, je vous conseille la aussi de bien la noter dans un coin car elle vous sera demandé lorsque vous allez ajouter votre certificat à votre hébergement ou dans votre MMC Windows.

Le tour est joué vous pouvez utiliser votre certificat.

Source CSR

Source PFX