Achat d'un certificat

Après avoir généré une CSR, vous devez l'envoyer à une CA.

Achat d'un certificat auprès de VeriSign

Vous devez tout d'abord choisir le certificat que vous voulez acheter. Reportez-vous à la la section intitulée Paquetages de certificat VeriSign pour une description des certificats de VeriSign.

Après avoir choisi celui que vous souhaitez, allez à la page http://www.verisign.com/server/. Sélectionnez le certificat que vous voulez acheter.

Le processus d'achat est quelque peu standardisé. Dans ce document, nous allons parcourir, pas à pas, le processus d'achat d'un certificat de site sécurisé, mais vous devriez pouvoir utiliser les instructions pour acheter un autre type de certificat.

  1. Pour Secure Site certificates, vous pouvez sélectionner Two Year Option (si vous le voulez), puis confirmer l'emplacement de votre serveur sécurisé. Cliquez sur Continue lorsque vous avez terminé.

  2. La page suivante est Preparing for Enrollment. Cette page contient un récapitulatif des informations que vous aurez à fournir à VeriSign. Lisez cette page et assurez-vous de disposer des informations nécessaires avant de poursuivre le processus de demande. Lorsque vous avez terminé, cliquez sur le bouton Continue au bas de la page.

  3. La page suivante est CSR: Wizard: Verify Distinguished Name. Si vous n'avez pas encore généré une clé et une CSR conformément aux instructions de la la section intitulée Génération d'une clé et de la la section intitulée Génération d'une demande de certificat à envoyer à la CA, faites-le maintenant. Ensuite, sélectionnez I have already prepared a CSR for this enrollment, puis cliquez sur Continue.

  4. L'étape suivante, Submit CSR, est illustrée à la Figure 11-1. Sélectionnez Red Hat dans la liste Server Software Vendor.

    Figure 11-1. Soumission d'une demande de certificat à VeriSign

    Collez le contenu de votre CSR dans la zone de texte Enter CSR Information. Pour couper et coller le contenu du fichier (si vous utilisez X Window), commencez par utiliser la commande cd pour accéder au répertoire /etc/httpd/conf/ssl.csr. Affichez le contenu de server.csr à l'aide de la commande cat server.csr. Mettez en surbrillance le fichier en cliquant dessus et en faisant glisser le curseur de la souris tout en maintenant le bouton gauche enfoncé. Cliquez avec le bouton gauche sur la page Web. Cliquez avec le bouton du milieu de la souris pour coller le texte en surbrillance.

    Lorsque vous copiez et collez la CSR, veillez à ne pas copier d'éléments ou espaces vides supplémentaires situés avant ou après le texte (notamment les lignes -----BEGIN CERTIFICATE REQUEST----- et -----END CERTIFICATE REQUEST-----). Les CA rejettent souvent les CSR contenant des espaces indésirables.

    Après avoir collé la CSR, cliquez sur Continue.

  5. L'étape suivante est Provide Proof of Right. Ceci signifie que vous devez prouver à VeriSign la légitimité de votre organisation. VeriSign commence par rechercher le nom d'organisation que vous avez fourni dans la base de données de Dun & Bradstreet. Si votre organisation y figure, sélectionnez-la. Si votre organisation n'y figure pas, sélectionnez l'option My company and/or my company's correct address is not displayed in this list. Cliquez sur Continue.

    La manière la plus simple de prouver l'identité de votre organisation à VeriSign consiste à communiquer votre numéro D-U-N-S, mais il existe d'autres possibilités si vous n'avez pas de numéro D-U-N-S ou si vous ne voulez pas l'utiliser. Reportez-vous aux instructions fournies par VeriSign si vous voulez prouver l'identité de votre organisation autrement qu'avec un numéro D-U-N-S. Vous devez disposer de cette preuve, prête pour soumission à VeriSign, avant de demander un certificat. Une fois que vous disposez des documents requis, poursuivez le processus d'inscription.

  6. Après que vous avez sélectionné l'organisation correcte dans la liste de la base de données de Dun & Bradstreet et cliqué sur Continue, le système affiche la page Confirm Domain Registration. Dans cette page, VeriSign vérifie si votre domaine est enregistré pour votre organisation. Pour plus d'informations sur l'enregistrement d'un nom de domaine, consultez le FAQ d'InterNIC à l'adresse http://www.internic.net/faq.html et/ou interrogez votre administrateur réseau.

    Votre nom de domaine doit être enregistré pour votre organisation. Ainsi le champ Organization name listed in domain registry doit être identique au champ Organization name you entered. Si ce n'est pas le cas, vous devrez probablement créer une nouvelle CSR incluant les informations correctes.

    Le plus souvent les deux champs seront identiques, de sorte que vous pourrez sélectionner l'option These organization names match, puis cliquer sur Continue.

  7. La page suivante devrait vous féliciter d'avoir passé les contrôles de validation initiaux de VeriSign. Cliquez sur Continue.

  8. La page suivante, Complete Application, est illustrée à la Figure 11-2.

    Figure 11-2. Demande de certificat VeriSign

    Entrez, dans la section Enter Technical Contact Information, les informations relatives à l'administrateur ou au webmaster de Red Hat Linux Secure Web Server.

    Entrez, dans la section Enter Organizational Contact Information, les informations appropriées, en fonction des instructions fournies par VeriSign.

    Complétez le formulaire Enter Billing Contact Information à l'aide des informations relatives à la personne qui sera contactée pour les problèmes de facturation.

    Tapez une "challenge phrase" (phrase de passe) et une "reminder question" (question aide-mémoire) dans la zone prévue à cet effet. Vous devrez peut-être communiquer cette phrase confidentielle si vous avez besoin d'une assistance de VeriSign ; c'est pourquoi il convient de l'enregistrer et de la conserver en lieu sûr.

    Indiquez le moyen de paiement du certificat.

    Lisez le contrat de souscription au bas de la page. Après avoir lu le contrat, cliquez sur le bouton Continue au bas de la page. Votre demande sera envoyée.

Après avoir complété votre formulaire d'inscription et une fois vos informations et votre paiement remis à VeriSign, l'identité de votre organisation est authentifiée et votre certificat est émis. Une fois la demande approuvée, votre certificat est envoyé par courrier électronique aux contacts techniques et administratifs indiqués.

Enregistrez le certificat que VeriSign vous envoie dans le fichier server.crt situé dans /etc/httpd/conf/ssl.crt/. Suivez les étapes décrites à la la section intitulée Test de votre certificat pour installer votre certificat.

Achat d'un certificat à Thawte

Pour acheter un certificat à Thawte, procédez comme suit :

  1. Pointez votre navigateur sur l'adresse http://www.thawte.com/certs/server/request.html, où Thawte présente les étapes nécessaires.

  2. La première chose à faire est de réunir les documents requis, comme expliqué à la la section intitulée Preuve de l'identité de votre organisation apportée à Thawte et dans la page Web précitée.

  3. L'étape suivante consiste à générer une clé et une demande de signature de certificat (CSR). Si vous avez suivi les instructions de la la section intitulée Génération d'une clé et de la la section intitulée Génération d'une demande de certificat à envoyer à la CA, vous avez déjà une clé (/etc/httpd/conf/ssl.key/server.key) et une CSR (/etc/httpd/conf/ssl.csr/server.csr). Si vous n'avez pas encore créé de clé ni de demande de certificat, faites-le à présent à l'aide des instructions figurant dans ce document.

  4. Allez à la page Web Buy a Certificate de Thawte à l'adresse https://www.thawte.com/cgi/server/step1.exe. Sélectionnez SSL Server Certificate. Cliquez sur le bouton Next au bas de la page.

  5. La page suivante est Server Cert Enrollment. Collez le contenu de votre fichier /etc/httpd/conf/ssl.csr/server.csr dans la zone de texte Certificate Signing Request (CSR) illustrée à la Figure 11-3.

    Figure 11-3. Formulaire d'inscription de Thawte

    Pour couper et coller le contenu du fichier (si vous utilisez X Window), commencez par utiliser la commande cd pour accéder au répertoire /etc/httpd/conf/ssl.csr. Affichez le contenu de server.csr à l'aide de la commande cat server.csr. Mettez en surbrillance le fichier en cliquant dessus et en faisant glisser le curseur de la souris tout en maintenant le bouton gauche enfoncé. Cliquez avec le bouton gauche sur la page Web. Cliquez avec le bouton du milieu de la souris pour coller le texte en surbrillance.

    Lorsque vous copiez et collez la CSR, veillez à ne pas copier d'éléments ou espaces vides supplémentaires situés avant ou après le texte (notamment les lignes -----BEGIN CERTIFICATE REQUEST----- et -----END CERTIFICATE REQUEST-----). Les CA rejettent souvent les CSR contenant des espaces indésirables.

  6. Choisissez Red Hat Secure Server dans le menu déroulant Web Server Software.

  7. Choisissez le mode de paiement du certificat.

  8. Cliquez sur Next au bas de la page.

  9. La page suivante affiche la rubrique Analysis of Certificate Signing Request, illustrée à la Figure 11-4.

    Figure 11-4. Analyse d'une CSR

    Faites défiler la page jusqu'à Background Information, où vous devez sélectionner une description de votre organisation dans le menu déroulant, ou tapez votre propre description dans la zone de texte prévue à cet effet.

  10. Si vous avez un numéro D-U-N-S, entrez-le dans la zone de texte sous DUNS Number.

  11. Lisez le Subscriber Agreement de Thawte. Complétez les informations requises pour la personne de votre organisation qui validera le Subscriber Agreement, comme décrit à la la section intitulée Preuve de l'identité de votre organisation apportée à Thawte.

  12. Sous Technical Contact/Webmaster, complétez les informations de contact relatives à l'administrateur ou au webmaster de Red Hat Linux Secure Web Server.

  13. Cliquez sur le bouton Next au bas de la page.

  14. La page suivante, également intitulée Server Cert Enrollment, illustrée à la Figure 11-5 est la dernière page de leur formulaire d'inscription. Dans le premier menu déroulant, sélectionnez la devise dans laquelle vous voulez payer Thawte.

    Figure 11-5. Demande CSR de Thawte

  15. Entrez le nom de la rue de votre organisation dans la zone de texte Office Street Address.

  16. Entrez le numéro de fax de votre organisation dans la zone de texte sous Office Fax Number.

  17. Dans le menu déroulant sous Nearest Thawte Office, choisissez le bureau Thawte le plus proche de votre organisation.

  18. Tapez un mot ou une phrase de passe dans la zone de texte sous Privacy Protection Password. Après avoir soumis votre candidature, vous serez en mesure de vérifier son état sur le Web.

  19. Cliquez sur Next au bas de la page.

  20. La page suivante indique que la soumission est terminée. Cette page fournit un numéro de suivi pour votre demande, de sorte que vous pouvez surveiller son état sur le Web.

  21. Une fois que Thawte aura reçu les documents et le paiement, votre certificat vous sera envoyé par courrier électronique. A la réception du certificat, enregistrez-le dans le fichier /etc/httpd/conf/ssl.crt/server.crt. Reportez-vous à la la section intitulée Test de votre certificat pour obtenir des instructions sur l'installation du certificat.