Avant de configurer les paramètres sur le serveur Spectrum, vous devez d'abord générer des clés et obtenir une demande de signature de certificat (CSR).
Cette section utilise le programme en ligne de commande OpenSSL pour générer une paire de clés publique/privée et un CSR. OpenSSL est fourni avec la plupart des systèmes Linux. Sous Windows, vous pouvez télécharger le package d'installation de la boîte à outils OpenSSL à partir de
Shining Light Productions. Reportez-vous à la
référence des commandes OpenSSL pour plus d'informations sur les commandes OpenSSL décrites ici.
Dans l'exemple de code, remplacez les références à example par votre organisation ou votre nom de domaine.
-
Ouvrez une invite de commande OpenSSL.
-
Générer une paire de clés publique/privée à l'aide d'une boîte à outils SSL.
-
Exécutez la commande suivante pour générer paire de clés publique/privée RSA.
openssl genrsa -out www.example.com.key 2048
Cet exemple génère une paire de clés RSA de 2 048 bits. La norme de chiffrement et les exigences de longueur minimale peuvent différer selon la version de Java installée sur votre machine et les exigences de l'autorité de certification.
Vous obtenez la sortie suivante :
openssl genrsa -out www.example.com.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ................................+++++ ...+++++ e is 65537 (0x010001)
-
Générer une demande de signature de certificat.
openssl req -new -sha256 -key www.example.com.key -out www.example.com.csr
Cette commande intègre votre clé publique et des informations sur votre organisation dans une demande de signature de certificat ou CSR. Il vous demandera les informations suivantes :
- Nom du pays (code de pays ISO-3166 à deux lettres)
- Nom de province ou d'état
- Nom de la localité (comme la ville)
- Nom de l'organisation (comme la société)
- Nom de l'unité organisationnelle (unité ou section d'une organisation)
- Nom commun (généralement le nom de domaine complet du serveur)
- Adresse e-mail (adresse de contact dans votre organisation)
- Un mot de passe de défi (assurez-vous de consigner ce mot de passe)
-
Pour garantir la validité de la CSR, exécutez cette commande :
openssl req -text -in www.example.com.csr -noout
La réponse devrait ressembler à ceci :
Certificate Request: Data: Version: 1 (0x0) Subject: C = US, ST = Maryland, L = Rockville, O = Example Ltd, OU = Help Central Example, CN = www.example.com, emailAddress = webmaster@example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:9f:b4:35:53:31:be:3b:79:42:23:0b:69:5b:10: ce:80:d0:a3:dd:4d:dc:b3:aa:c1:b8:38:b9:cb:d9: ... Exponent: 65537 (0x10001) Attributes: challengePassword :examplepassword Signature Algorithm: sha256WithRSAEncryption 02:a9:f0:2f:1b:7f:09:04:ff:6f:e4:5e:51:12:22:56:4c:5c: 81:d4:e0:06:c2:0b:42:6d:18:de:29:df:97:d0:e2:24:53:35: ...
-
Soumettez la CSR résultante (
www.example.com.csr
) à une autorité de certification.
Envoyez la CSR à votre autorité de certification et suivez ses instructions pour recevoir votre certificat final. Les modalités de facturation du service de garantie de votre clé publique varient d'une CA à l'autre.