Génération d'une demande de certificat à envoyer à la CA

Après avoir créé une clé, l'étape suivante consiste à générer une demande de certificat à adresser à la CA de votre choix. Tapez la commande suivante :

make certreq

Votre système affiche la sortie suivante et vous demande votre mot de passe (à moins que vous n'ayez désactivé l'option de mot de passe) :

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr 
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
	

Tapez le mot de passe que vous avez choisi lorsque vous avez généré votre clé. Votre système affiche des instructions, puis vous demande de fournir une série de réponses. Vos entrées sont incorporées dans la demande de certificat. L'écran, avec des exemples de réponses, ressemble à ceci :

You are about to be asked to enter information that will be 
incorporated into your certificate request. 
What you are about to enter is what is called a 
Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:Durham
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (eg, your name or your server's hostname) []:test.mydomain.com
Email Address []:admin@mydomain.com
Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []: 
An optional company name []:

Les réponses par défaut s'affichent entre crochets [] après chaque demande d'entrée. Par exemple, la première information requise est le nom du pays où le certificat sera utilisé ; elle apparaît sous la forme suivante :

Country Name (2 letter code) [AU]:
      

L'entrée par défaut, entre crochets, est AU. Pour accepter la valeur par défaut, appuyez simplement sur Entrée, ou entrez le code à deux lettres de votre pays.

Vous devez taper le reste des entrées (State or Province Name, Locality Name, Organization Name, Organizational Unit Name, Common Name et Email address). Leur intitulé est suffisamment parlant, à condition de connaître un peu l'anglais. Il convient cependant de respecter les instructions suivantes :

• N'abrégez pas la localité ou l'état. Ecrivez-les entièrement (par exemple, St. Louis doit être noté Saint-Louis).

• Si vous envoyez cette demande de certificat (CSR) à une CA, veillez à fournir des informations correctes pour tous les champs, mais en particulier pour les champs Organization Name et Common Name. Les CA vérifient les informations fournies dans la CSR afin de déterminer si votre organisation est responsable de ce que vous avez fourni comme Common Name. Les CA rejettent les CSR qui comprennent des informations qu'elles perçoivent comme non valides.

• Pour Common Name, veillez à taper le nom de zone de votre Red Hat Linux Secure Web Server (un nom de DNS valide) et non un quelconque alias du serveur.

• Email Address doit indiquer l'adresse électronique du webmaster ou de l'administrateur système.

• Evitez d'utiliser des caractères spéciaux tels que @, #, &, !, etc. Certaines CA rejettent les demandes de certificat contenant un caractère spécial. Ainsi, si le nom de votre société contient un caractère "&", entrez "et" au lieu de "."

• N'utilisez aucun des attributs supplémentaires (A challenge password et An optional company name ). Pour continuer sans compléter ces champs, appuyez simplement sur Entrée pour accepter la valeur par défaut pour les deux entrées (les champs ne sont pas renseignés).

Une fois ces informations entrées, un fichier nommé server.csr est généré. Le fichier server.csr constitue votre demande de certificat, prêt pour envoi à la CA.