Certificats et processus de certification
Processus de certification
Les certificats sont délivrés par les Autorités de Certification (CA). Il s’agit d’un processus en 3 étapes :
1) La génération d’une paire de clés ou clé privée au standard RSA 2048 bits. Cette clé sera utilisée pour générer une demande CA basée sur la clé générée.
2) La demande de CA générée est transmise à l’Autorité de Certification. Elle contient toutes les informations nécessaires pour que le fournisseur délivre un certificat (nom du pays code à 2 lettres, nom complet de l’état ou de la province, nom de la localité, nom de l’organisation, par exemple la société, nom de l’unité d’organisation, par exemple la section, une adresse email valide et un nom commun (CN ) par exemple MyDomainName.com).
3) L’Autorité de Certification vérifie les informations que vous avez transmises et renvoie le certificat, et éventuellement, les certificats intermédiaires nécessaires pour accéder à votre certificat.
Le certificat contient également la réponse CA (la clé privée validée). Une fois que vous avez le certificat, la réponse CA, sa paire de clés (clé privée) et les certificats intermédiaires, ils doivent être importés dans le magasin de clés géré par TS2log.
Les Certificats
La livraison contient généralement plusieurs fichiers. Chaque fichier est un certificat. Comme dit précédemment, l’Autorité délivre le certificat de votre nom de domaine et les Certificats intermédiaires qui sont obligatoires pour accéder à votre certificat.
Le fichier au format commun est .cer ou .crt. Ces extensions sont reconnues par l’OS qui associe le certificat Icon.
Dans notre exemple ci-dessus, nous avons reçu 4 fichiers (.crt). Le premier, le deuxième et le troisième sont des certificats intermédiaires (CARoot, TrustCA, DomainValidationCA).
Le quatrième est notre certificat qui certifie notre nom de domaine MyDomainName.crt. Ils doivent tous être installés ensemble.
Pour mieux comprendre comment procéder, examinons les certificats.
Propriétés des certificats
Les propriétés du certificat CA Root indiquent son chemin. Chaque certificat a un chemin depuis la racine jusqu’au certificat de votre nom de domaine.
Les propriétés de notre certificat montrent toutes les informations générales sur le certificat : objets, adresses, délivré au CN, délivré par et validité.
Ce qu’il est important de noter, c’est le chemin de certification. Il comprend l’intégralité du chemin nécessaire pour accéder à notre certificat.
Il affiche tous les certificats intermédiaires inclus dans le nôtre.
Il s’agit d’un processus simple. Vous devez importer l’intégralité du chemin de certification ainsi que la paire de clés dans le fichier de stockage de clés TS2log.
Utilisez le gestionnaire de certificats Windows pour importer la paire de clés et tous les certificats dans le magasin de clés Windows comme décrit dans le processus Certificats et certification (rendez la paire de clés exportable lors de l’importation !).
Puis exportez cette clé à partir du magasin de clés Windows en cochant l’option « Inclure tous les certificats dans le chemin de certification si possible ». Pour le format choisissez par exemple *.p12.
Créez maintenant un nouveau magasin de clés au format JKS sur Portecle et accédez à « Outils > Importer une paire de clés » et importez ce fichier *.p12 :
Avis important sur la paire de clés (clé privée)
La paire de clés est la clé RSA 2048 bits générée pour la demande CA du certificat. Elle a été générée soit dans le module complémentaire Portecle que nous fournissons, soit avec un autre générateur disponible comme openssl, IIS, les sites en ligne ou les applications du fournisseur de CA.
Vous devez conserver cette clé privée. Il s’agit soit d’un format texte de fichier plat non sécurisé .pem, soit d’un format sécurisé .p12 ou .pfx.
La clé privée générée est obligatoire pour pouvoir générer correctement les certificats.
Retour à HTTPS, SSL & Résumé du tutoriel sur les certificats.