Les paires de clés ainsi que les demandes de certificat sont stockées dans une base de données de clés. Cette section fournit des informations sur la création d'une paire de clés et une demande de certificat.
Avant de commencer
Il existe des limitations concernant la prise en charge de certificat GSKit que vous devez garder à l'esprit lorsque vous créez une paire de clés ainsi qu'une demande de certificat :
- Vous ne pouvez pas utiliser IKEYMAN pour créer des certificats avec des tailles de clé de plus de 4 096 bits.
- Vous pouvez importer des certificats avec des tailles de clé égales à 4 096 bits dans la base de données de clés.
Pourquoi et quand exécuter cette tâche
Suivez la procédure ci-dessous pour créer une paire de clés publiques et privées ainsi qu'une demande de certificat :
Procédure
- Si vous n'avez pas créé de base de données de clés, consultez Création d'une base de données de clés pour les instructions.
- Démarrez
l'interface utilisateur IKEYMAN.
- Cliquez sur Fichier de base de données de clés à partir de l'interface utilisateur principale, puis cliquez sur Ouvrir.
- Entrez le nom de votre base de données de clés dans la boîte de dialogue Ouvrir ou cliquez sur le fichier key.kdb si vous utilisez la valeur par défaut. Cliquez sur
OK.
- Dans la boîte de dialogue d'invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
- Cliquez sur Créer à partir de l'interface utilisateur principale, puis cliquez sur Nouvelle demande de certificat.
- Dans la boîte de dialogue Nouvelle demande de clé et de certificat, entrez les informations suivantes :
- Libellé de la clé : entrez un commentaire descriptif pour identifier la clé et le certificat dans la base de données.
- Taille de la clé : choisissez le niveau de chiffrement à partir du menu déroulant.
- Nom de l'organisation : entrez le nom de votre organisation.
- Unité d'organisation
- Localité
- Etat/Province
- Code postal
- Pays : entrez un code pays. Indiquez au moins deux caractères. Exemple :
nom du fichier de demande de certificat US ou utilisez le nom par défaut.
Un total de contrôle de la demande de certificat est signé de manière chiffrée avec la nouvelle clé privée et contient une copie de la nouvelle clé publique. Cette dernière peut alors être utilisée par une autorité de certification pour confirmer que la demande de signature de certificat (CSR) n'a pas été falsifiée. Certaines autorités de certification peuvent exiger que le total de contrôle signé par la clé publique soit calculé avec un algorithme plus fort, comme SHA-1 ou SHA-2 (SHA-256, SHA-384, SHA-256).
Ce total de contrôle est l'algorithme de signature de la demande de signature de certificat
Les extensions SAN (Subject Alternate
Name) sont les zones d'une demande de certificat qui indiquent aux clients SSL les noms d'hôte alternatifs correspondant au certificat signé. Les certificats normaux (émis et dont le nom distinctif ne comporte pas de chaîne de caractère générique) sont valides uniquement pour un nom d'hôte unique.
Par exemple, un certificat créé pour example.com n'est valide sur le site www.example.com que si le nom SAN "www.example.com" est ajouté au certificat. Une autorité de certification peut facturer des frais supplémentaires si le certificat contient 1 ou plusieurs extensions SAN.
- Cliquez sur OK.
- Cliquez sur OK dans la boîte de dialogue d'informations. Un rappel pour l'envoi du fichier à une autorité de certification apparaît.
- Facultatif : Sous UNIX, supprimez les caractères de fin de ligne (^M) de la demande de certificat. Pour supprimer les caractères de fin de ligne, entrez la commande suivante :
cat certreq.arm |tr -d "\r" > new_certreq.arm
- Envoyez le fichier à l'autorité de certification en suivant les instructions indiquées sur le site Web de l'autorité pour les demandes de nouveaux certificats.