Introduction
Un CSR ou un Certificate Signing Request est un bloc de texte codé étant remis à une autorité de certification lors de la demande de certificat SSL. Il est généralement généré sur le serveur sur lequel le certificat sera installé et contient des informations étant incluses dans le certificat, telles que le nom de l'organisation, le nom commun (nom de domaine), la localité et le pays. Il contient également la clef publique étant incluse dans le certificat. Une clef privée est généralement créée en même temps que vous créez la CSR, créant une paire de clefs. Un CSR est généralement codé en utilisant ASN.1 conformément à la spécification PKCS #10. Une autorité de certification utilisera un CSR pour créer votre certificat SSL, mais elle n'a pas besoin de votre clef privée. Vous devez garder votre clef privée secrète. Le certificat créé avec un CSR particulier ne fonctionnera qu'avec la clef privée ayant été générée avec celui-ci. Donc, si vous perdez la clef privée, le certificat ne fonctionnera plus. En général, lorsque les données sont situés dans un fichier, il porte l'extension de fichier «.csr».
Structure de données
La structure de données du CSR est constitué d'un bloc de code encodé en Base64 situé entre «-----BEGIN CERTIFICATE REQUEST----» et «-----END CERTIFICATE REQUEST-----» contenant une signature de certificat (Certificate Signing Request). Le décodage du Base64 des champs binaires contient généralement les informations suivantes :
Nom | Description |
---|---|
Common Name | Ce champ contient le nom de domaine complet (FQDN) de votre serveur. Il doit correspondre exactement à ce que vous tapez dans votre navigateur Web sinon vous recevrez une erreur de non-correspondance de nom. |
Organization | Ce champ contient le nom légal de votre organisation. Il ne doit pas être abrégé et doit inclure des suffixes tels que Inc, Corp ou LLC. |
Organizational Unit | Ce champ contient la division de votre organisation gérant le certificat. |
City/Locality | Ce champ contient la ville où se trouve votre organisation. |
State/County/Region | Ce champ contient l'état et la région où se trouve votre organisation. Il ne devrait pas être abrégé. |
Country | Ce champ contient le code ISO à deux lettres du pays où se trouve votre organisation. |
Email address | Ce champ contient une adresse de courriel utilisée pour contacter votre organisation. |
Public Key | Ce champ contient une clef publique allant dans le certificat. |
Remarque
- Longueur de bits d'une clef CSR et privée : La longueur en bits d'un CSR et d'une paire de clefs privées détermine la facilité avec laquelle la clef peut être craquée à l'aide de méthodes de force brute. En 2016, une taille de clef inférieure à 2048 bits est considérée comme faible et pourrait potentiellement être cassée en quelques mois ou moins avec une puissance de calcul suffisante. Si une clef privée est rompue, toutes les connexions initiées avec celle-ci seront exposées à celui qui possède la clef. Les directives de validation étendue que les fournisseurs de certificats SSL doivent suivre exigent que tous les certificats EV utilisent une taille de clef de 2048 bits pour assurer leur sécurité à long terme. Pour cette raison, la plupart des fournisseurs encouragent les clefs à 2048 bits sur tous les certificats, qu'ils soient EV ou non.
Voir également
Serveur ou service logiciel - IIS - Introduction
Logiciel - OpenSSL - Présentation