Acheter un certificat SSL nécessite de générer un CSR, Certificate Signing Request. Ce tutoriel explique comment le créer à partir d’un serveur internet IIS, en version 8 comme embarquée avec le système Windows Server 2012 / R2 mais ce guide convient également pour Windows Server 2016 avec IIS 10. Le certificat SSL servira à sécuriser un site web (https) ou des applications publiées (RDS) via un serveur web Microsoft IIS.

Le CSR se génère en quelques instants à partir du serveur web IIS. Cette demande de signature du certificat est envoyé par le demandeur (vous-même) à une autorité de certification (Verisign, GoDaddy…) pour demander un certificat d’identité numérique. Les formats les plus courants pour le CSR sont les PKCS #7 et #10. Le PKCS (Public Key Cryptographic Standards, pour standards de cryptographie à clé publique, définis par les Laboratoires RSA Security) succède au PFX de Microsoft et notons que OpenSSL utilise le format PKCS#12 (fichier de type .p12).

 

Générer un Certificate Signing Request (CSR) depuis IIS

1. Dans la console Gestionnaire de serveur (Server manager), ouvrir Outils et Gestionnaire des services internet (IIS).

2. Dans le panneau de gauche Connexions, cliquer sur le serveur concerné.

3. Sur l’écran du milieu, dans le groupe IIS, double cliquer sur l’icône Certificats de serveur.

generer certifical SSL CSR Certificate Signing Request

4. Dans le panneau Actions à droite, cliquer sur Créer une demande de certificat.

5. Les champs à remplir sont les suivants :

  • Nom commun (CN) : le nom complet FQDN du domaine
  • Organisation (O) : nom de l’entreprise
  • Unité d’organisation (OU) : pour différencier les départements de l’entreprise ou mettre un nom générique
  • Ville (L) : ville du siège de l’entreprise
  • Département/région (S) : la région du siège de l’entreprise
  • Pays/région (C) : le pays du siège de l’entreprise

generer certifical SSL CSR Certificate Signing Request

6. Spécifier le fournisseur de services de chiffrement, selon les besoins et ce que propose le prestataire qui fournira le certificat SSL.

generer certifical SSL CSR Certificate Signing Request

7. Donner un nom de fichier pour la génération du CSR.

generer certifical SSL CSR Certificate Signing Request

8. Ouvrir le fichier texte généré, la demande de certificat est le code indéchiffrable compris entre —–BEGIN NEW CERTIFICATE REQUEST—– et —–END NEW CERTIFICATE REQUEST—– .

9. Copier tout ce code et le coller dans le formulaire de demande de certificat SSL du fournisseur.