Tous les articles SSL SSL et certificats

Qu'est-ce qu'un CSR (Certificate Signing Request) ?

Un CSR (Certificate Signing Request) est un bloc de donnees encodees que vous envoyez a une Autorite de Certification (CA) pour demander un certificat SSL. Il contient votre cle publique et les informations de domaine. La CA utilise ces donnees pour creer votre certificat.

Ce que contient un CSR

ChampExempleObligatoire ?
Common Name (CN)example.comOui
Cle publiqueVotre cle publique RSA ou ECDSAOui
Algorithme de cleECDSA P-256 ou RSA 2048Oui
OrganisationVotre Societe SARLOptionnel pour DV
PaysFROptionnel pour DV
SANswww.example.com, api.example.comPour multi-domaine

Pour les certificats DV (comme Let’s Encrypt), seuls le(s) nom(s) de domaine et la cle publique comptent. Les champs organisationnels sont ignores.

Comment fonctionne la generation d’un CSR

  1. Generer une paire de cles — une cle privee et une cle publique
  2. Construire le CSR — encoder la cle publique + les informations de domaine dans un format standardise (PKCS#10)
  3. Signer le CSR — le signer avec la cle privee (prouve que vous possedez la cle privee correspondante)
  4. Envoyer a la CA — la CA verifie votre propriete du domaine, puis utilise le CSR pour creer votre certificat

La cle privee ne quitte jamais votre systeme. Le CSR contient uniquement la cle publique.

GetHTTPS gere le CSR automatiquement

Avec les outils traditionnels, vous genereriez manuellement un CSR avec OpenSSL :

# La methode manuelle (pas necessaire avec GetHTTPS)
openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:P-256 \
  -keyout privkey.pem -out csr.pem -nodes \
  -subj "/CN=example.com"

Avec GetHTTPS, vous ne voyez ni ne touchez jamais le CSR. L’outil :

  1. Genere la paire de cles dans votre navigateur (Web Crypto API)
  2. Construit le CSR automatiquement a partir de votre saisie de domaine
  3. L’envoie a Let’s Encrypt dans le cadre du flux ACME
  4. Vous donne le certificat signe a telecharger

Le CSR est une etape interne — vous entrez simplement votre domaine et obtenez un certificat.

Generer un CSR manuellement (quand c’est necessaire)

Si vous avez besoin d’un CSR autonome (pour une CA commerciale ou une plateforme qui necessite un telechargement), voici comment :

ECDSA P-256 (recommande)

openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:P-256 \
  -keyout privkey.pem -out csr.pem -nodes \
  -subj "/CN=example.com"

RSA 2048

openssl req -new -newkey rsa:2048 \
  -keyout privkey.pem -out csr.pem -nodes \
  -subj "/CN=example.com"

Avec plusieurs domaines (SAN)

openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:P-256 \
  -keyout privkey.pem -out csr.pem -nodes \
  -subj "/CN=example.com" \
  -addext "subjectAltName=DNS:example.com,DNS:www.example.com"

Verifier un CSR

openssl req -in csr.pem -noout -text

Cela affiche le(s) nom(s) de domaine, l’algorithme de cle et la taille de cle integres dans le CSR.

Le CSR dans le protocole ACME

Dans le protocole ACME (utilise par Let’s Encrypt), le CSR est envoye lors de l’etape de finalisation — apres la reussite de la validation du domaine. La CA utilise la cle publique du CSR pour construire votre certificat. Le format du CSR est PKCS#10, encode en base64url dans le message JSON ACME.

Avec GetHTTPS, tout ce processus se deroule en JavaScript en utilisant la Web Crypto API et la bibliotheque pkijs. Vous ne voyez jamais les octets bruts du CSR.

Questions frequemment posees

Dois-je conserver le fichier CSR ?

Non. Le CSR n’est utilise que pendant la demande de certificat. Une fois que la CA a emis votre certificat, le CSR ne sert plus a rien. Conservez votre cle privee et votre certificat — vous pouvez supprimer le CSR.

Puis-je reutiliser un CSR pour le renouvellement ?

Techniquement oui, mais il est preferable de generer une nouvelle paire de cles et un nouveau CSR pour chaque renouvellement. Cela suit le principe de rotation des cles et limite l’exposition en cas de compromission d’une cle.

Quelle est la difference entre un CSR et un certificat ?

Un CSR est une demande — il contient votre cle publique et demande a la CA de la signer. Un certificat est le resultat — c’est la declaration signee de la CA attestant que votre cle publique appartient a votre domaine. Le CSR est l’entree ; le certificat est la sortie.

Puis-je generer un CSR pour un domaine wildcard ?

Oui. Utilisez *.example.com comme Common Name :

openssl req -new -newkey ec -pkeyopt ec_paramgen_curve:P-256 \
  -keyout privkey.pem -out csr.pem -nodes \
  -subj "/CN=*.example.com"

Avec GetHTTPS, vous n’avez pas besoin de generer un CSR manuellement — entrez *.example.com comme domaine et GetHTTPS gere le CSR automatiquement.

Que signifie « key usage » dans un CSR ?

Les extensions de key usage specifient a quoi le certificat peut servir — generalement « Digital Signature » et « Key Encipherment » pour les certificats TLS. GetHTTPS et la plupart des clients ACME les definissent correctement par defaut. Vous n’avez besoin de vous preoccuper du key usage que si vous generez des CSR manuellement pour une CA commerciale ayant des exigences specifiques.

Articles connexes

SSL et certificats 2026-05-07
Certificats ECC vs RSA : lequel choisir ?
Comparaison des certificats ECC (ECDSA P-256) et RSA (2048/4096 bits). Les cles ECC sont plus petites et plus rapides. Decouvrez pourquoi GetHTTPS utilise ECC par defaut et quand RSA reste pertinent.
Premiers pas 2026-05-08
Comment obtenir un certificat SSL gratuit (guide étape par étape)
Obtenez un certificat SSL gratuit de Let's Encrypt en 5 minutes — aucun logiciel à installer, aucun compte à créer. Guide complet couvrant 4 méthodes, les deux types de challenge, l'installation sur 6 plateformes et le dépannage.
SSL et certificats 2026-05-07
Comment fonctionne SSL/TLS : Le handshake TLS expliqué
Un guide visuel du handshake TLS — comment votre navigateur et un serveur établissent une connexion chiffrée en quelques millisecondes. Couvre TLS 1.2, TLS 1.3, la reprise de session et le Forward Secrecy.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat