RSA ou ECDSA, lequel choisir ?

**ECDSA P-256** pour les serveurs modernes (Nginx, Apache 2.4+, toute nouvelle stack). Clés plus petites (256 bits vs RSA-2048), handshakes TLS plus rapides, même niveau de sécurité. **RSA 2048** pour les vieux systèmes (Windows Server 2008, embarqué), compatibilité universelle. Let's Encrypt recommande ECDSA pour les nouveaux certificats.

C'est quoi les SANs et pourquoi ça compte ?

Les [[SANs||Subject Alternative Names]] sont les **domaines supplémentaires que le certificat couvre**. Sans SANs, le cert ne marche que pour le CN (par exemple example.com). Pour couvrir aussi www.example.com ou api.example.com, ajoute-les aux SANs. **En 2025**, chaque cert utilise des SANs, le CN seul est du legacy du SSL des années 90.

C'est quoi la passphrase de clé et dois-je en mettre une ?

Une **clé privée chiffrée par passphrase** est sûre même si le fichier fuit. Sans elle, n'importe qui avec accès au fichier contrôle ton domaine. **Trade-off** : le serveur doit connaître la passphrase pour démarrer TLS, donc il la demande à chaque redémarrage. Généralement tu la stockes dans un fichier de config, affaiblissant la protection. **Pour la production**, on utilise des HSMs ou HashiCorp Vault, pas une passphrase.

Common Name est legacy ?

Oui, **CN a été déprécié** en faveur des SANs par RFC 6125 (2011). La plupart des navigateurs ignorent déjà CN et ne vérifient que les SANs. Mais le **CSR a toujours besoin d'un CN** pour compatibilité (chaque CA en attend un). Mets le domaine principal dans CN et répète-le dans SANs.

Le pays C a besoin d'un code à 2 lettres, lequel ?

Le standard [[ISO 3166-1 alpha-2||standard de code pays, 2 lettres majuscules]]. France = FR, US = US, Allemagne = DE, Royaume-Uni = GB, Pologne = PL. N'écris pas « FRA » ou « France », la CA rejettera le CSR.

Mes détails (CN, O, e-mail) vont-ils à votre serveur ?

**Non**. La génération tourne entièrement dans ton navigateur (la bibliothèque node-forge + Web Crypto API). Ouvre **DevTools → Network** pendant la génération, tu verras zéro requête. La clé privée **ne quitte jamais** ton appareil.

Que faire de la clé privée après génération ?

Sauvegarde-la dans un chemin sûr sur ton serveur (`/etc/ssl/private/example.com.key` sur Linux). Permissions **600 (lisibles par root uniquement)**. Backup vers un gestionnaire de mots de passe ou un coffre. **Ne la commit jamais dans un dépôt de code** (gitignore !). Si tu perds la clé, il te faut un nouveau CSR + certificat renouvelé (la CA ne peut pas aider).

Puis-je réutiliser cette clé pour plusieurs domaines ?

Oui, la clé privée **n'est pas liée à un domaine spécifique**, seulement à un certificat. Tu peux émettre plusieurs certificats pour différents domaines en utilisant la même clé. **Mais pas recommandé** : compromettre un serveur expose chaque domaine sur cette clé. Meilleure pratique : une clé, un cert (ou un groupe SAN).

Comment transformer le CSR en certificat signé ?

Soumets le CSR à ta CA (Let's Encrypt, DigiCert, ...). La CA vérifie que tu contrôles le domaine (challenge HTTP ou challenge DNS), puis émet le certificat (.crt). Branche-le avec la clé privée dans la config de ton serveur web (Nginx : `ssl_certificate` + `ssl_certificate_key`). Reload, HTTPS est live.

Générateur CSR - gratuit

Générateur de CSR + clé privée

Générez une CSR (Certificate Signing Request) et la clé privée associée pour commander un certificat SSL/TLS. Ou décodez une CSR existante pour inspecter son subject et ses SAN.

Common Name (domaine)*

example.com

Organisation (O)

par ex. Acme Corp

Unité (OU)

par ex. IT, Ingénierie

Ville (L)

par ex. Paris

Région (ST)

par ex. Île-de-France

Pays (C, 2 lettres)

ISO 3166 : FR, BE, CH, CA

Subject Alt Names (SAN)

Liste séparée par des virgules de domaines supplémentaires. Standard pour les certificats modernes.

Algorithme de clé

Passphrase de la clé privée (optionnelle)

La clé privée et la CSR sont générées localement dans votre navigateur. Rien ne quitte votre appareil.

C'est quoi un CSR et quand en as-tu besoin ?

Un CSR est le format standard utilisé pour commander un certificat SSL/TLS auprès d'une autorité de certification (Let's Encrypt, DigiCert, Sectigo). Tu remplis les détails de ton domaine, cliques sur Générer, et reçois deux fichiers : un CSR (tu l'envoies à la CA) et une clé privée (tu la gardes sur ton serveur, jamais à partager).

Ici tu génères la paire directement dans ton navigateur. On supporte RSA 2048/3072/4096 et ECDSA P-256/P-384 (le défaut moderne, clés plus petites). Ajoute des SANs si le certificat doit inclure www, api, blog, etc.

Le deuxième onglet : colle un CSR existant et on décodera le sujet, les SANs et l'algorithme pour que tu puisses vérifier avant l'envoi à une CA.

Tout tourne en local. La clé privée est générée dans ton navigateur et jamais transmise.

Comment l'utiliser

Onglet Générer : entre le Common Name (CN), le domaine principal pour lequel tu veux le certificat (par exemple example.com).

Ajoute l'organisation (O), l'unité (OU), la ville (L), l'état (ST) et le pays (C, un code ISO de 2 lettres : FR, US, GB, DE).

Le champ SANs est une liste de domaines supplémentaires séparés par virgules (par exemple www.example.com, api.example.com). La plupart des certificats couvrent au moins « example.com » et « www.example.com ».

Choisis l'algorithme : RSA 2048 pour compatibilité maximale, ECDSA P-256 pour la vitesse et les stacks modernes (recommandé par Let's Encrypt en 2025).

Clique sur Générer, récupère deux fichiers : un CSR (envoie à ta CA, par exemple colle dans le panneau de contrôle Let's Encrypt) et une clé privée (garde-la sur ton serveur, jamais à partager).

Onglet Décoder : colle un CSR existant (par exemple un généré par OpenSSL) et vois le sujet, les SANs et l'algorithme. Vérifie-le avant l'envoi à une CA.

Quand l'utiliser

Cinq situations courantes où tu dois générer un CSR :

Certificat Let's Encrypt pour ton propre serveur. La plupart utilisent certbot/acme.sh (CSRs automatiques), mais pour des setups manuels ou cas inhabituels, tu en génères un toi-même.
Certificat SSL commercial de DigiCert, Sectigo, GlobalSign. Les certs payants exigent toujours un CSR de ton serveur.
**Certificat wildcard (*.example.com)**. Mets CN = « *.example.com » pour couvrir chaque sous-domaine.
Certificat intranet / staging. Le CSR sera signé par la CA interne de ton entreprise.
Migrer un certificat vers un nouveau serveur. Nouveau CSR + nouvelle clé évite d'exposer l'ancienne clé.

Pour inspecter un certificat live, utilise le SSL Cert Inspector. Pour générer une clé de signature JWT, voir le générateur de paire de clés JWT.

Questions et réponses

Un CSR est une requête. Il contient les détails de ton serveur + ta clé publique + ta signature. Un certificat est la réponse de la CA : les mêmes données PLUS la signature de la CA, qui atteste que tu es bien qui tu prétends être. Les navigateurs ne font confiance qu'aux certificats signés par une CA de confiance (Let's Encrypt, DigiCert, ...).

C'est quoi un CSR et quand en as-tu besoin ?

Le deuxième onglet : colle un CSR existant et on décodera le sujet, les SANs et l'algorithme pour que tu puisses vérifier avant l'envoi à une CA.

Tout tourne en local. La clé privée est générée dans ton navigateur et jamais transmise.

Comment l'utiliser

Onglet Générer : entre le Common Name (CN), le domaine principal pour lequel tu veux le certificat (par exemple example.com).

Ajoute l'organisation (O), l'unité (OU), la ville (L), l'état (ST) et le pays (C, un code ISO de 2 lettres : FR, US, GB, DE).

Choisis l'algorithme : RSA 2048 pour compatibilité maximale, ECDSA P-256 pour la vitesse et les stacks modernes (recommandé par Let's Encrypt en 2025).

Onglet Décoder : colle un CSR existant (par exemple un généré par OpenSSL) et vois le sujet, les SANs et l'algorithme. Vérifie-le avant l'envoi à une CA.

Quand l'utiliser

Cinq situations courantes où tu dois générer un CSR :

Certificat Let's Encrypt pour ton propre serveur. La plupart utilisent certbot/acme.sh (CSRs automatiques), mais pour des setups manuels ou cas inhabituels, tu en génères un toi-même.
Certificat SSL commercial de DigiCert, Sectigo, GlobalSign. Les certs payants exigent toujours un CSR de ton serveur.
**Certificat wildcard (*.example.com)**. Mets CN = « *.example.com » pour couvrir chaque sous-domaine.
Certificat intranet / staging. Le CSR sera signé par la CA interne de ton entreprise.
Migrer un certificat vers un nouveau serveur. Nouveau CSR + nouvelle clé évite d'exposer l'ancienne clé.

Pour inspecter un certificat live, utilise le SSL Cert Inspector. Pour générer une clé de signature JWT, voir le générateur de paire de clés JWT.

Questions et réponses

Générateur CSR

C'est quoi un CSR et quand en as-tu besoin ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Inspecteur certificat SSL

Générateur paire de clés PGP

Générateur paire de clés JWT

Générateur paire de clés DKIM

Chiffrement AES-GCM

Générateur CSR

C'est quoi un CSR et quand en as-tu besoin ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Inspecteur certificat SSL

Générateur paire de clés PGP

Générateur paire de clés JWT

Générateur paire de clés DKIM

Chiffrement AES-GCM