Red Hat Enterprise Linux 3: Guide d'administration système | ||
---|---|---|
Précédent | Chapitre 27. Configuration du serveur sécurisé HTTP Apache | Suivant |
L'étape suivant la création de votre clé, consiste à générer une demande de certificat que vous enverrez ensuite à l'autorité de certification de votre choix. Après vous être assuré que vous vous trouvez bien dans le répertoire /usr/share/ssl/certs, tapez la commande suivante :
make certreq |
Votre système affichera la sortie suivante et vous demandera votre phrase-mot de passe (à moins bien sûr que vous n'ayez désactivé cette fonction) :
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase: |
Entrez la phrase-mot de passe choisie lors de la création de votre clé. Votre système affichera des instructions et vous demandera de fournir des réponses à une série de questions. Les informations que vous fournirez sont ajoutées à la demande de certificat. Un écran de demande, montrant des exemples de réponse, semblable à celui s'affichant est reproduit ci-dessous :
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:North Carolina Locality Name (eg, city) [Newbury]:Raleigh Organization Name (eg, company) [My Company Ltd]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Les réponses par défaut sont mises entre crochets ([]) immédiatement après chaque demande d'entrée. Par exemple, la première information demandée est le nom du pays où le certificat sera utilisé, comme ci-dessous :
Country Name (2 letter code) [GB]: |
L'entrée par défaut, entre crochets, est GB. Pour accepter cette valeur par défaut, appuyez simplement sur la touche
Vous devrez tapez le reste des valeurs. Ces dernières devraient être évidentes, mais suivez tout de même les lignes directrices suivantes :
N'abrégez pas les localités ou les états. Écrivez-les en entier (ex.: Saint-Malo et non St-Malo).
Si vous envoyez cette demande de certificat à une autorité de certification, veillez à bien indiquer correctement toutes les informations demandées dans les champs, particulièrement dans le Nom de l'organisation et le Nom commun. Les autorités de certification vérifient les informations contenues dans les demandes pour déterminer si les organisations sont réellement associées au nom fourni dans le champ Nom commun. Si elles ont des doutes quant aux informations fournies, elles rejettent les demandes.
Pour le champ Nom commun, assurez-vous d'entrer le véritable nom de votre serveur sécurisé (un nom DNS valide) et non pas l'alias que le serveur peut avoir.
L'adresse électronique doit être celle du webmestre (Webmaster) ou de l'administrateur système.
Évitez tout caractère spécial du type @, #, &, !, etc. Certaines autorités de certification refusent les demandes contenant de tels caractères. Par conséquent, si le nom de votre société contient une esperluette (&), écrivez plutôt "et" que "&."
N'utilisez aucun des attributs supplémentaires (A challenge password et An optional company name). Pour continuer sans remplir ces champs, appuyez simplement sur la touche
Lorsque vous avez terminé d'entrer les informations, le fichier /etc/httpd/conf/ssl.csr/server.csr est créé. Ce fichier est votre demande de certificat, prête à être envoyée à l'autorité de certification.
Après avoir choisi une autorité de certification, suivez les instructions fournies par celle-ci sur son site Web. Ces instructions vous expliquent comment envoyer votre demande de certificat, vous indique si vous devez fournir toute autre information et vous précise également les modes de paiement.
Si vous répondez à toutes les exigences de l'autorité de certification, elle vous enverra un certificat (généralement par courrier électronique). Enregistrez-le (ou copiez-le et collez-le) sous /etc/httpd/conf/ssl.crt/server.crt. Assurez-vous de bien conserver une copie de sauvegarde de ce fichier.
Précédent | Sommaire | Suivant |
Création d'une clé | Niveau supérieur | Création d'un certificat auto-signé |