Créer une demande de Certificat signée avec OpenSSL

Pour créer un certificat, vous devez d'abord créer une demande de signature de certificat. Vous pouvez envoyer votre demande à une autorité de certification, ou l'utiliser pour créer un certificat autosigné.

Utiliser OpenSSL pour générer une demande de signature de certificat

OpenSSL est installé avec un maximum de distributions GNU/Linux. Pour télécharger le code source ou un fichier binaire Windows, accédez au site http://www.openssl.org/ et suivez les consignes d'installation pour votre système d'exploitation. Vous pouvez utiliser OpenSSL pour convertir des certificats et des demandes de signature de certificat d'un format à un autre. Pour plus d'informations, voir la page principale ou la documentation en ligne OpenSSL.

  1. Ouvrez un terminal de Command Line Interface.

Veillez à exécuter l'invite de commande en tant qu'administrateur. Pour ce faire, faites un clic droit sur le raccourci de l'invite de commande dans Windows.

  1. Pour générer un fichier de clé privée nommé privkey.pem dans votre répertoire de travail actuel, entrez :openssl genrsa -out privkey.pem 2048.
  2. Saisissez openssl req -new -key privkey.pem -out request.csr
    Cette commande génère un CSR au format PEM dans votre répertoire de travail actuel.
  3. Lorsque vous êtes invité à fournir les données d'attribut Nom commun x509, tapez votre nom de domaine complet (FQDN). Utilisez d'autres informations, le cas échéant.
  4. Suivez les instructions provenant de votre autorité de certification pour envoyer la demande de signature de certificat.

Pour créer un certificat autosigné temporaire en attendant que l'autorité de certification retourne votre certificat signé :

  1. Créez un fichier texte en clair, que vous nommez extensions.txt.
  2. Ajoutez le texte suivant au fichier :

basicConstraints=CA:TRUE,pathlen:0

keyUsage=digitalSignature,keyEncipherment,keyCertSign,cRLSign

extendedKeyUsage=serverAuth

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid,issuer

  1. Ouvrez un terminal de Command Line Interface.
  2. Tapez openssl x509 -req -days 30 -in request.csr -signkey privkey.pem -extfile extensions.txt -out sscert.cert

Cette commande crée au sein de votre répertoire actuel un certificat qui expirera dans 30 jours ; il est généré à partir de la clé privée et de la demande de signature que vous avez créée dans la procédure précédente.

Vous ne pouvez pas utiliser un certificat autosigné pour l'authentification de passerelle distante VPN. Il est conseillé d'utiliser des certificats signés par une autorité de certification approuvée.

Voir Également

À propos des Certificats

S'abonner à un Certificat avec l'autorité de certification (CA) Microsoft

Autorités de Certification Approuvées par le Périphérique