Décodeur de CSR : vérifiez votre CSR avant d'émettre un certificat

La première chose que vous remettez à une autorité de certification lorsque vous demandez un certificat SSL/TLS est un CSR. Une simple faute de frappe, un mauvais nom de domaine ou une taille de clé trop faible dans ce bloc peut faire rejeter votre certificat ou le faire émettre avec de mauvaises informations. C'est précisément là qu'un décodeur de CSR prend tout son sens : il vous montre, en clair, ce que contient réellement votre CSR avant que vous ne l'envoyiez.

Qu'est-ce qu'un CSR ?

Un CSR (Certificate Signing Request, demande de signature de certificat) est un bloc PEM encodé en Base64 que vous créez pour demander un certificat à une AC. Il contient votre nom de domaine (Common Name), les informations de votre organisation et votre clé publique. Lors de la génération du CSR, une clé privée correspondante est créée en même temps. Cette clé privée ne quitte jamais votre serveur et n'est pas incluse dans le CSR.

En résumé, un CSR est une demande signée qui dit : "émets un certificat pour ce domaine et cette clé publique". L'AC valide la demande et émet un certificat lié à la clé publique qu'il contient.

Comment générer un CSR ?

L'outil le plus courant est OpenSSL. La commande ci-dessous crée à la fois une clé privée de 2048 bits et un CSR en une seule étape :

openssl req -new -newkey rsa:2048 -nodes \
  -keyout example.key \
  -out example.csr \
  -subj "/C=FR/ST=Ile-de-France/L=Paris/O=Exemple SARL/CN=exemple.fr"

Une fois la commande exécutée, vous obtenez deux fichiers : example.key, à garder secret, et example.csr, à envoyer à l'AC. Pour plusieurs domaines (SAN), vous ajoutez une entrée subjectAltName via un fichier -config.

Que signifient les champs décodés ?

Un décodeur de CSR ouvre ce bloc PEM et affiche chaque champ de façon lisible :

  • CN (Common Name) : le domaine principal pour lequel le certificat sera émis, par ex. exemple.fr.
  • O (Organization) : le nom de votre organisation.
  • OU (Organizational Unit) : une unité ou un service (désormais facultatif dans la plupart des certificats).
  • L / ST / C : ville, région/état et code pays.
  • Type et taille de clé : par exemple RSA 2048 bits ou ECDSA P-256.
  • Algorithme de signature : généralement SHA-256 avec RSA.
  • SAN : noms de domaine supplémentaires (Subject Alternative Names) intégrés au CSR, dans l'extensionRequest.
  • Validité de la signature : si l'auto-signature du CSR est cohérente.

Pourquoi décoder votre CSR avant de l'envoyer ?

Décoder un CSR avant l'envoi permet de repérer des erreurs difficiles à corriger avant qu'elles ne surviennent :

  1. Fautes de frappe dans le CN : une seule lettre erronée, comme exmple.fr, fait émettre un certificat pour le mauvais domaine. Le décodeur l'affiche clairement.
  2. SAN manquants ou erronés : les navigateurs modernes ne regardent que le champ SAN. Si vous avez oublié le sous-domaine www, le certificat ne sera pas valable pour www.exemple.fr. Le décodeur liste les SAN pour que vous les confirmiez.
  3. Taille de clé faible : une ancienne clé 1024 bits, non sûre, n'est plus acceptée. Comme le décodeur affiche la taille de clé, vous pouvez confirmer que vous utilisez 2048 bits ou plus.
  4. Informations d'organisation erronées : pour les certificats OV/EV, les champs O et L sont vérifiés ; les saisir correctement dès le départ évite des jours d'allers-retours.

Quand vous êtes prêt, utilisez notre outil décodeur de CSR pour coller votre CSR et voir chaque champ en quelques secondes.

Fonctionne dans votre navigateur : l'avantage confidentialité

Coller un CSR dans un outil en ligne quelconque peut revenir à envoyer les détails de configuration de votre serveur à une partie inconnue. Notre outil est différent : il fonctionne entièrement dans votre navigateur. Votre CSR n'est jamais envoyé à nos serveurs ; le décodage se fait sur votre appareil. Même si un CSR ne contient aucune clé privée, cette approche garde vos données chez vous et facilite le respect des politiques de confidentialité de l'entreprise.

Le CSR est correct, et ensuite ?

Une fois que vous avez confirmé que chaque champ de votre CSR est correct, vous êtes prêt à obtenir votre certificat. Suivez notre assistant de certificat pour créer votre certificat Let's Encrypt gratuit de 90 jours, étape par étape.

Résumé

Le CSR est le socle de votre processus de certification, et une petite erreur à l'intérieur peut entraîner de gros retards. Vérifier le CN, les informations d'organisation, les SAN et la taille de clé avec un décodeur de CSR avant l'envoi permet de repérer les erreurs tôt. Vérifiez votre CSR en toute confidentialité avec notre outil dans le navigateur, puis émettez votre certificat en toute confiance.