15%

Économisez 15% sur tous les services d'hébergement

Testez vos compétences et obtenez Réduction sur tout plan d'hébergement

Utilisez le code :

Skills
Commencer
30.10.2024
1 +1
Category iconSécurité

Qu’est-ce qu’un CSR et comment en créer un ? Un guide complet étape par étape

Sécuriser votre site web avec HTTPS n’est plus optionnel — c’est une exigence fondamentale pour la confiance des utilisateurs, la protection des données et le référencement dans les moteurs de recherche. Au cœur de chaque émission de certificat SSL/TLS se trouve un composant critique mais souvent mal compris : la Demande de Signature de Certificat (CSR). Que vous soyez développeur, administrateur système ou propriétaire de site web, comprendre comment générer et soumettre correctement un CSR peut vous faire économiser des heures de dépannage et garantir que votre site est correctement sécurisé.

Dans ce guide complet, nous expliquerons exactement ce qu’est un CSR, pourquoi il est important, et nous vous guiderons à travers plusieurs méthodes pour en créer un — notamment OpenSSL, cPanel et IIS.

Qu’est-ce qu’un CSR (Demande de Signature de Certificat) ?

Une Demande de Signature de Certificat (CSR) est un bloc de texte encodé en Base64 que vous générez sur votre serveur et soumettez à une Autorité de Certification (CA) — telle que Let’s Encrypt, DigiCert ou Sectigo — lors de la demande d’un certificat SSL. La CA lit les informations intégrées dans le CSR et les utilise pour émettre un certificat signé numériquement qui active HTTPS sur votre domaine.

Considérez un CSR comme un formulaire de demande officiel : il indique à la CA qui vous êtes, quel domaine vous souhaitez sécuriser, et fournit la clé publique cryptographique qui sera intégrée dans le certificat final.

Quelles informations contient un CSR ?

Un CSR standard comprend les champs suivants :

ChampDescriptionExemple
Nom Commun (CN)Nom de Domaine Pleinement Qualifié (FQDN) à sécuriserwww.example.com
Nom de l’Organisation (O)Nom légal de l’entreprise ou de la personneExample Corp Ltd
Unité Organisationnelle (OU)Département ou division (optionnel)IT Department
Localité (L)Ville où l’organisation est situéeNew York
État/Province (ST)Nom complet de l’état ou de la provinceNew York
Pays (C)Code pays ISO à deux lettresUS
Adresse E-mailE-mail de contact (optionnel)admin@example.com
Clé PubliqueClé cryptographique utilisée pour le chiffrementRSA 2048 bits ou supérieur

> Important : Un CSR ne contient pas votre clé privée. La clé privée est générée en même temps que le CSR mais doit toujours rester stockée de manière sécurisée sur votre serveur et ne jamais être partagée avec qui que ce soit — y compris la CA.

Pourquoi un CSR est-il important ?

Comprendre le rôle d’un CSR aide à clarifier pourquoi chaque émission de certificat SSL commence par cette étape.

1. Il initie la demande de certificat SSL

Sans CSR, une CA n’a aucun moyen de savoir quel domaine vous souhaitez sécuriser, qui en est propriétaire, ou quelle clé publique intégrer dans le certificat. Le CSR est le mécanisme formel qui lance l’ensemble du processus d’émission de certificat.

2. Il établit les fondements cryptographiques

Le CSR contient votre clé publique, qui est mathématiquement associée à votre clé privée. Ensemble, ces clés forment le socle du chiffrement asymétrique de SSL/TLS. Lorsqu’un navigateur se connecte à votre serveur, il utilise la clé publique (du certificat) pour chiffrer les données, et votre serveur utilise la clé privée pour les déchiffrer — garantissant qu’aucun tiers ne peut intercepter la communication.

3. Il permet la validation d’identité

Selon le type de certificat SSL que vous demandez, la CA effectuera différents niveaux de vérification d’identité en utilisant les informations de votre CSR :

  • Validation de Domaine (DV) : La CA vérifie uniquement que vous contrôlez le domaine. Rapide et automatisé.
  • Validation d’Organisation (OV) : La CA vérifie l’existence légale de votre organisation en plus du contrôle du domaine.
  • Validation Étendue (EV) : La vérification la plus rigoureuse — la CA vérifie l’identité légale, l’adresse physique et le statut opérationnel.

Si vous gérez un site web d’entreprise ou une plateforme e-commerce, choisir le bon niveau de validation est important. Vous pouvez explorer la gamme de Certificats SSL d’AlexHost pour trouver l’option qui correspond le mieux à vos exigences de sécurité.

Comment créer un CSR : Instructions étape par étape

La création d’un CSR implique deux étapes principales : générer une clé privée, puis utiliser cette clé pour produire le fichier CSR. Ci-dessous, nous couvrons les méthodes les plus courantes.

Méthode 1 : Utiliser OpenSSL (Linux, macOS, Windows)

OpenSSL est l’outil le plus largement utilisé et universellement disponible pour générer des CSR. Il fonctionne sur les serveurs Linux, macOS et Windows (avec OpenSSL installé).

#### Étape 1 : Générer une clé privée

Ouvrez votre terminal (ou l’invite de commandes sur Windows) et exécutez la commande suivante :

openssl genrsa -out private.key 2048

Ce que cela fait :

    genrsa — génère une clé privée RSA
-out private.key — enregistre la clé dans un fichier nommé private.key
  • 2048 — spécifie la longueur de la clé en bits (2048 bits est le minimum recommandé ; utilisez 4096 pour une sécurité accrue)

    • > Conseil de sécurité : Stockez private.key dans un répertoire sécurisé avec accès restreint. Ne le téléchargez jamais vers un emplacement public et ne le partagez pas par e-mail.

    #### Étape 2 : Générer le CSR

    Avec votre clé privée créée, exécutez la commande suivante pour générer le CSR :

    openssl req -new -key private.key -out yourdomain.csr

    OpenSSL vous invitera à remplir les champs du CSR de manière interactive :

    Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: California
Locality Name (eg, city) []: San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Corp Ltd
Organizational Unit Name (eg, section) []: IT Department
Common Name (e.g. server FQDN or YOUR name) []: www.example.com
Email Address []: admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

    > Conseil pro : Laissez le champ « mot de passe de défi » vide, sauf si votre CA l’exige spécifiquement. Il ajoute de la complexité sans avantage de sécurité significatif dans la plupart des flux de travail modernes.

    Une fois terminé, votre CSR est enregistré dans yourdomain.csr. Vous pouvez afficher son contenu avec :

    openssl req -text -noout -verify -in yourdomain.csr

    #### Étape 3 : Générer la clé et le CSR en une seule commande

    Pour plus d’efficacité, vous pouvez combiner les étapes 1 et 2 en une seule commande :

    openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out yourdomain.csr

    Cela génère la clé privée et le CSR simultanément, en vous demandant les mêmes informations de champ.

    #### Étape 4 : Soumettre le CSR à votre Autorité de Certification

    Ouvrez le fichier yourdomain.csr dans un éditeur de texte et copiez l’intégralité de son contenu — y compris les lignes -----BEGIN CERTIFICATE REQUEST----- et -----END CERTIFICATE REQUEST-----. Collez-le dans le formulaire de soumission de votre CA lors de l’achat ou du renouvellement de votre certificat SSL.

    #### Étape 5 : Sécuriser votre clé privée

    Après avoir reçu et installé votre certificat SSL, assurez-vous que private.key est :

    • Stocké avec des permissions de fichier restreintes (chmod 600 private.key sur Linux)
    • Sauvegardé dans un emplacement sécurisé et chiffré
    • Jamais transmis via des canaux non sécurisés

    Si la clé privée est perdue ou compromise, vous devez générer une nouvelle paire de clés, créer un nouveau CSR et demander une réémission du certificat.

    Méthode 2 : Utiliser cPanel (Hébergement Partagé & VPS)

    Si votre environnement d’hébergement utilise cPanel, vous pouvez générer un CSR directement via l’interface graphique — aucune expérience en ligne de commande n’est requise. C’est idéal pour les utilisateurs d’Hébergement Web Partagé ou d’un VPS avec cPanel.

    Étapes :

    1. Connectez-vous à votre compte cPanel.
    2. Accédez à la section Sécurité et cliquez sur SSL/TLS.
    3. Sous Demandes de Signature de Certificat (CSR), cliquez sur « Générer, afficher ou supprimer des demandes de signature de certificat SSL. »
    4. Remplissez les champs du formulaire CSR :
    • Taille de la clé : Sélectionnez 2048 (recommandé) ou 4096 bits
    • Domaines : Entrez votre FQDN (ex. www.example.com)
    • Ville, État, Pays : Les détails de localisation de votre organisation
    • Entreprise & Division : Nom légal de l’organisation et département
    • E-mail : Adresse e-mail de contact
    1. Cliquez sur Générer.
    2. cPanel affichera votre CSR. Copiez le texte complet et soumettez-le à votre CA.

    > cPanel stocke également votre clé privée automatiquement et l’associe au CSR, simplifiant ainsi l’étape ultérieure d’installation du certificat.

    Méthode 3 : Utiliser IIS sur Windows Server

    Pour les administrateurs gérant des sites web sur Windows Server avec Internet Information Services (IIS), le Gestionnaire IIS fournit un assistant intégré de génération de CSR.

    Étapes :

    1. Ouvrez le Gestionnaire IIS (inetmgr).
    2. Dans le panneau Connexions à gauche, sélectionnez le nom de votre serveur (pas un site spécifique).
    3. Dans le panneau central, double-cliquez sur Certificats de Serveur.
    4. Dans le panneau Actions à droite, cliquez sur Créer une Demande de Certificat…
    5. Remplissez les Propriétés du Nom Distinctif :
    • Nom commun, Organisation, Unité organisationnelle, Ville, État, Pays
    1. Cliquez sur Suivant.
    2. Sur la page Propriétés du Fournisseur de Services Cryptographiques :
    • Fournisseur de services cryptographiques : Microsoft RSA SChannel Cryptographic Provider
    • Longueur en bits : 2048 (minimum) ou 4096
    1. Cliquez sur Suivant, choisissez un chemin de fichier pour enregistrer le CSR, et cliquez sur Terminer.
    2. Ouvrez le fichier .txt enregistré, copiez son contenu et soumettez-le à votre CA.

    > Remarque : IIS stocke la clé privée en attente en interne. Ne supprimez pas la demande en attente du Gestionnaire IIS avant d’avoir installé avec succès le certificat émis.

    Génération de CSR : Comparaison rapide des méthodes

    MéthodePlateformeNiveau de compétenceIdéal pour
    OpenSSL CLILinux, macOS, WindowsIntermédiaireDéveloppeurs, administrateurs système, utilisateurs VPS
    Interface graphique cPanelTout hébergement basé sur cPanelDébutantHébergement partagé, utilisateurs VPS gérés
    Gestionnaire IISWindows ServerIntermédiaireServeurs web sous Windows

    Erreurs courantes à éviter lors de la création d’un CSR

    Même les administrateurs expérimentés font parfois des erreurs lors de la génération de CSR. Voici les pièges les plus courants :

    1. Utiliser un Nom Commun incorrect : Le CN doit correspondre exactement au domaine que vous souhaitez sécuriser. Pour un certificat wildcard, utilisez *.example.com. Pour un certificat multi-domaine (SAN), l’interface de votre CA gérera les domaines supplémentaires séparément.
    1. Abréger le champ État/Province : Écrivez toujours le nom complet (ex. « California », pas « CA »). Certaines CA rejetteront les entrées abrégées.
    1. Perdre la clé privée : Le CSR et la clé privée forment une paire assortie. Si vous perdez la clé privée avant d’installer le certificat, vous devrez recommencer depuis le début.
    1. Utiliser une taille de clé inférieure à 2048 bits : Les CA et navigateurs modernes exigent un minimum de clés RSA 2048 bits. Utiliser une taille inférieure entraînera un rejet ou des avertissements du navigateur.
    1. Réutiliser d’anciens CSR : Générez toujours un nouveau CSR pour chaque nouvelle demande de certificat ou renouvellement. La réutilisation des CSR peut introduire des risques de sécurité et peut être rejetée par certaines CA.

    Après le CSR : Installer votre certificat SSL

    Une fois que votre CA a validé votre CSR et émis le certificat, vous recevrez un ou plusieurs fichiers .crt ou .pem. Les étapes d’installation varient selon la plateforme :

    • Apache/Nginx sur Linux : Configurez les chemins des fichiers de certificat dans votre configuration d’hôte virtuel
    • cPanel : Utilisez le Gestionnaire SSL/TLS pour installer le certificat avec la clé privée correspondante
    • IIS : Utilisez « Compléter la Demande de Certificat » dans le Gestionnaire IIS pour importer le certificat émis
    • Plesk / DirectAdmin : Utilisez les interfaces intégrées de gestion des certificats SSL

    Pour les utilisateurs d’Hébergement VPS ou de Serveurs Dédiés, vous disposez d’un accès root complet pour gérer l’installation des certificats directement via la ligne de commande ou votre panneau de contrôle préféré.

    Questions Fréquemment Posées sur les CSR

    Puis-je réutiliser un CSR pour plusieurs certificats ?

    Techniquement oui, mais cela est fortement déconseillé. Chaque demande de certificat devrait utiliser un CSR et une paire de clés fraîchement générés pour maintenir une bonne hygiène de sécurité.

    Quelle est la durée de validité d’un CSR ?

    Un CSR lui-même n’expire pas, mais le certificat qui en est issu expire (généralement 1 an pour les certificats SSL modernes). Vous devriez générer un nouveau CSR à chaque renouvellement de votre certificat.

    Quelle est la différence entre un CSR et un certificat ?

    Un CSR est votre *demande* d’obtention d’un certificat. Le certificat est le *document émis* par la CA, signé avec la clé privée de la CA, auquel les navigateurs font confiance.

    Ai-je besoin d’un CSR pour Let’s Encrypt ?

    Le protocole ACME de Let’s Encrypt (utilisé par des outils comme Certbot) gère la génération du CSR automatiquement en coulisses. Cependant, vous pouvez également fournir un CSR personnalisé si nécessaire.

    Conclusion

    Une Demande de Signature de Certificat (CSR) est la première étape essentielle pour obtenir un certificat SSL/TLS pour votre site web. Elle regroupe votre clé publique et votre identité organisationnelle dans un format standardisé que les Autorités de Certification utilisent pour émettre des certificats de confiance — activant HTTPS, chiffrant les données des utilisateurs et renforçant la confiance des visiteurs.

    Que vous utilisiez OpenSSL sur un VPS Linux, l’interface graphique cPanel sur un plan d’hébergement partagé, ou le Gestionnaire IIS sur un Windows Server, le processus suit les mêmes principes fondamentaux : générer une clé privée sécurisée, créer le CSR avec des informations précises, le soumettre à votre CA, et protéger votre clé privée tout au long du processus.

    Prêt à sécuriser votre site web ? Explorez les Certificats SSL d’AlexHost pour une gamme d’options adaptées à chaque taille de projet et budget — de la validation de domaine de base aux certificats à validation étendue pour les environnements d’entreprise. Associez votre certificat SSL à un Hébergement VPS fiable ou à des Serveurs Dédiés pour garantir que votre infrastructure est aussi robuste que votre posture de sécurité.

    15%

    Économisez 15% sur tous les services d'hébergement

    Testez vos compétences et obtenez Réduction sur tout plan d'hébergement

    Utilisez le code :

    Skills
    Commencer