Obtenir un certificat depuis la CA
Cette section décrit les étapes à suivre pour obtenir un certificat auprès d'une autorité de certification (CA). Pour pouvoir activer le chiffrage SSL pour LicenseServer, il vous faudra les fichiers suivants :
•Fichier de clé privée : généré par vous-même, en utilisant : (i) une application qui peut déjà exister sur votre système d'exploitation (comme OpenSSL sur Linux), ou (ii) des applications tierces (comme OpenSSL).
•Fichier de certificat : Il s'agit de la clé publique basée sur votre clé privée, que vous pouvez acquérir auprès d'une autorité de certification (CA) reconnue telle que VeriSign ou Thawte. Pour l'achat, il vous faudra : (i) le fichier de clé privée que vous avez généré, et (ii) une demande de signature de certificat (CSR), qui peut également être générée par votre application SSL.
•Fichiers de chaîne de certificats (ou fichiers de certificats Intermédiaires) : fournis par la CA avec le fichier de certificat de clé publique.
Les étapes pour obtenir ces trois fichiers sont listées ci-dessous.
Étant donné qu'OpenSSL est généralement préinstallé sur la plupart des distributions Linux et peut également être installé sur les ordinateurs Windows, les étapes ci-dessous sont expliquées à l'aide des commandes OpenSSL. Pour obtenir les liens de téléchargement des binaires d'installation Open SSL, voir le Wiki OpenSSL.
Étapes pour générer une clé privée et obtenir des certificats depuis une CA
SSL exige qu'une clé privée soit installée sur le serveur. Pour créer la clé privée, utilisez la commande OpenSSL suivante : openssl genrsa -out private.key 2048
Ceci crée un fichier nommé private.key, qui contient votre clé privée. La clé privée doit être dans le format PEM (Privacy Enhanced Mail). L'extension de fichier est généralement .pem, mais peut aussi être .key, .cert, .cer, ou .crt. La clé privée ne doit pas être protégée par un mot de passe. Enregistrez le fichier dans un emplacement sécurisé et notez cet emplacement. (Voir la rubrique Exigences de clé privée pour plus de détails.) Vous aurez besoin de la clé privée pour générer la requête de signature de certificat (CSR) à l'étape suivante.
|
2.Générer une requêtes de signature de certificat (CSR)
Une requêtes de signature de certificat (CSR) est envoyée à une autorité de certification (CA) pour demander un certificat de clé publique. La CSR est basée sur votre clé privée et contient des informations concernant votre organisation. Créer une CSR avec la commande OpenSSL suivante (qui fournit le fichier de clé privée, private.key, qui a été créé dans l'étape 1, en tant que l'un de ces paramètres) : openssl req -new -nodes -key private.key -out my.csr
Pendant la génération de la CSR, vous devrez donner des informations sur votre organisation, comme celles indiquées ci-dessous. Cette information sera utilisée par l'autorité de certification pour vérifier l'identité de votre entreprise.
•Pays •Lieu (la ville dans laquelle se trouve l'entreprise) •Organisation (nom de votre entreprise). Ne pas utiliser de caractères spéciaux ; ils rendront votre certificat invalide •Nom commun (le nom DNS de votre serveur). Ceci doit correspondre exactement au nom de domaine complet (FQDN) de la machine hôte sur laquelle le serveur est exécuté. •Un mot de passe défiant. Laisser cette entrée vide !
|
Acheter un certificat SSL depuis une autorité de certification (CA) comme VeriSign ou Thawte. Pour le reste de ces instructions, nous suivons la procédure VeriSign. La procédure avec d'autres AC est semblable.
•Se rendre sur le site web VeriSign. •Cliquez sur Acheter Certificats SSL. •Plusieurs types de certificats SSL sont disponibles. Pour LicenseServer, les certificats Secure Site ou Secure Site Pro sont suffisants. Une EV (vérification étendue) n'est pas nécessaire, puisque les utilisateurs ne verront pas de « barre d'adresse verte ». •Suivre le processus d'enregistrement et remplir les informations demandées pour passer votre commande. •Lorsque vous serez invité à saisir votre CSR (créé dans l'étape 2), copier et coller le contenu du fichier my.csr dans le formulaire de commande. •Payer le certificat avec votre carte de crédit.
|
4.Recevoir une clé publique et des fichiers intermédiaires de la CA
Votre autorité de certification achèvera le processus d'inscription dans les deux à trois jours ouvrables suivants. Pendant ce temps, vous recevrez éventuellement des e-mails ou des appels téléphoniques vous demandant de vérifier que vous êtes bien autorisé à demander un certificat SSL pour votre domaine DNS. Veuillez coopérer avec les autorités pour achever le processus.
Une fois le processus d'autorisation et d'inscription complété, vous recevrez un e-mail contenant la clé publique de votre certificat SSL. Celle-ci sera en texte clair ou jointe en tant que fichier .cer.
Vous recevrez également deux fichiers de certificats intermédiaires (primaire et secondaire), soit en tant que texte soit dans des fichiers. Dans certains cas, votre autorité de certification (CA) recensera le contenu des certificats intermédiaires sur son site web.
•Certificats intermédiaires de Verisign : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Certificats intermédiaires de Verisign pour son produit Secure Site : https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copier-coller les deux certificats intermédiaires (primaire et secondaire) dans des fichiers texte séparés, puis les enregistrer sur votre ordinateur.
|
5.Enregistrer la clé publique dans le fichier
Pour une utilisation avec LicenseServer, la clé publique doit être enregistrée dans un format PEM (Privacy Enhanced Mail). L'extension de fichier est généralement .pem, mais peut aussi être .key, .cert, .cer, ou .crt. Si la clé publique était fournie en tant que texte, copier-coller toutes les lignes depuis
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
dans un fichier texte que nous appellerons certificate.cer.
|
6.Enregistrer les certificats intermédiaires de la CA dans un seul fichier
Pour activer le chiffrage SSL pour LicenseServer, vous devez combiner les certificats intermédiaires primaires et secondaires dans un seul fichier. Les fichiers intermédiaires ont été reçus de la CA (voir étape 4 ci-dessus).
Copier-coller les certificats intermédiaires dans un fichier pour qu'ils forment une séquence. L'ordre de la séquence est important : (i) certificat intermédiaire secondaire, (ii) certificat intermédiaire primaire. Assurez-vous qu'il n'y a pas de lignes entre les certificats. --BEGIN CERTIFICATE-- secondary intermediate certificate --END CERTIFICATE-- --BEGIN CERTIFICATE-- primary intermediate certificate --END CERTIFICATE--
Enregistrer le texte de certificat combiné dans un fichier nommé intermediates.cer. (L'extension de fichier peut être : .pem, .key, .cert, .cer, ou .crt.) Ce fichier contient la chaîne de confiance complète dans le formulaire des certificats intermédiaires qui ont été utilisés par la CA pour signer votre certificat.
|
Fichiers de résultat
Une fois les étapes ci-dessus effectuées, vous devriez disposer des fichiers suivants :
•Fichier de clé privée : nommé private.key dans les étapes ci-dessus (voir étape 1)
•Fichier de certificat : nommé certificate.cer dans les étapes ci-dessus (voir étapes 2 à 5)
•Fichiers de chaîne de certificat (ou fichiers de certificat intermédiaire): nommé intermediates.cer dans les étapes ci-dessus (voir étapes 4 et 6)
Enregistrer ces fichiers dans un emplacement approprié. Vous devrez saisir leurs chemins de fichier lorsque vous activez le chiffrage SSL dans les paramètres UI Web de l'onglet Paramètres.