CSR - Certificate Signing Request

Generez une CSR correcte pour obtenir votre certificat SSL.

La CSR (Certificate Signing Request) est la premiere etape pour obtenir un certificat SSL. C'est un fichier encode contenant votre cle publique et les informations sur votre organisation/domaine.

Une CSR mal generee peut entrainer un rejet par l'autorite de certification ou des problemes de compatibilite. Comprendre le processus est essentiel.

Ce guide couvre la generation de CSR pour differents serveurs et les erreurs courantes a eviter.

Anatomie d'une CSR

Une CSR contient plusieurs informations importantes :

  • Common Name (CN) : le nom de domaine exact a securiser (ex: www.example.com).
  • Organization (O) : le nom legal de votre organisation (requis pour OV/EV).
  • Cle publique : la partie publique de la paire de cles RSA ou ECDSA.
  • SAN : Subject Alternative Names pour les domaines additionnels.

Importance d'une CSR Correcte

Pourquoi prendre le temps de bien generer sa CSR :

  • Validation fluide : une CSR correcte accelere le processus de validation par la CA.
  • Securite optimale : une cle RSA 2048+ bits ou ECDSA garantit une securite adequate.
  • Compatibilite : les bons parametres assurent la compatibilite avec tous les clients.
  • Multi-domaines : les SAN correctement configures couvrent tous vos domaines.

Generer une CSR

Processus de generation avec OpenSSL :

  1. Generer la cle privee : creez une cle RSA 2048 ou 4096 bits.
  2. Creer la CSR : utilisez openssl req avec la cle privee.
  3. Verifier la CSR : assurez-vous que toutes les informations sont correctes.
  4. Soumettre a la CA : copiez le contenu de la CSR dans le formulaire de commande.

Commandes de Generation

Generation complete d'une CSR :

# Generer cle privee et CSR en une commande
openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out domain.csr

# Avec SAN (multi-domaines)
openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out domain.csr \
  -subj "/CN=example.com/O=My Company/C=FR" \
  -addext "subjectAltName=DNS:example.com,DNS:www.example.com"

# Verifier le contenu de la CSR
openssl req -text -noout -verify -in domain.csr

La cle privee doit etre gardee secrete et securisee. Ne la partagez jamais.

Bonnes Pratiques CSR

Conseils pour des CSR impeccables :

  • Cle RSA 2048+ bits : minimum 2048 bits, 4096 pour une securite renforcee.
  • Nouvelle cle a chaque renouvellement : generez toujours une nouvelle paire de cles pour limiter l'exposition.
  • Incluez les SAN : ajoutez www et non-www, plus tout sous-domaine necessaire.
  • Protegez la cle privee : permissions restrictives (chmod 400) et stockage securise.

Checklist CSR

  • Cle privee generee (2048+ bits)
  • Common Name correct
  • SAN inclus si necessaire
  • Organisation exacte (pour OV/EV)
  • CSR verifiee avec openssl
  • Cle privee securisee

Questions Frequentes

RSA ou ECDSA ?

RSA 2048 est le plus compatible. ECDSA est plus performant mais moins supporte par les vieux clients.

Dois-je remplir tous les champs ?

CN est obligatoire. O, C, L, ST sont requis pour OV/EV mais facultatifs pour DV.

Que faire si je perds la cle privee ?

Vous devrez revoquer le certificat et en commander un nouveau avec une nouvelle CSR.

Puis-je reutiliser une CSR ?

Techniquement oui, mais c'est deconseille. Une nouvelle paire de cles est plus securisee.

Comment ajouter plusieurs domaines ?

Utilisez l'extension SAN (Subject Alternative Names) lors de la generation.

La CSR contient-elle ma cle privee ?

Non, la CSR contient uniquement la cle publique. La cle privee reste sur votre serveur.

CSR : La Base de Votre Certificat

Une CSR bien generee est le fondement d'un certificat SSL securise. Prenez le temps de verifier chaque champ.

Avec MoniTao, surveillez ensuite votre certificat pour ne jamais manquer son expiration.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs