Comprendre le processus de délivrance d’un certificat
La délivrance d’un certificat est une opération technique qui repose sur une infrastructure à clé publique (PKI). Ce processus implique la création d’une paire de clés, la génération d’une demande de signature de certificat (CSR), la soumission à une autorité de certification (CA), l’approbation de la demande, puis la récupération du certificat signé. Que vous travailliez avec une solution cloud comme AWS Private CA ou une plateforme éducative comme Classera, les étapes fondamentales restent similaires. Ce guide pratique vous explique comment délivrer un certificat dans divers contextes, en mettant l’accent sur les environnements techniques et professionnels.
Les prérequis pour émettre un certificat
Avant de lancer la procédure, vous devez disposer d’une autorité de certification active. Celle-ci peut être une CA interne, comme un serveur Windows exécutant le rôle Active Directory Certificate Services, ou une CA externe gérée via un fournisseur cloud comme Google Cloud Certificate Authority Service. Assurez-vous également de posséder les droits d’administration nécessaires pour approuver les demandes. Dans le cas d’une PKI publique, vous devrez acheter un certificat auprès d’une CA reconnue, ce qui implique une validation de votre identité.
Un autre prérequis est la génération d’une CSR, qui contient les informations relatives au demandeur, comme le nom commun, l’organisation et la localisation. Cette CSR est créée côté client à l’aide d’outils comme OpenSSL ou directement via l’interface de la CA. Enfin, vous devez définir la période de validité du certificat, généralement comprise entre un et cinq ans, selon les politiques de votre organisation.

Délivrer un certificat via AWS Private CA
AWS Private Certificate Authority (AWS Private CA) permet de créer des certificats pour des usages internes, comme l’authentification de services ou de machines. La méthode la plus courante est l’utilisation de la ligne de commande AWS CLI avec la commande aws acm-pca issue-certificate. Vous devez fournir l’ARN de votre CA, la CSR au format PEM, et la période de validité via le paramètre Validity. Par exemple, une commande typique ressemble à ceci :
aws acm-pca issue-certificate --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/xxxx --csr fileb://client.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token 1234
Une fois l’opération réussie, vous recevez un ARN de certificat. Pour obtenir le certificat signé, utilisez la commande aws acm-pca get-certificate avec cet ARN. Le fichier peut être exporté au format PEM ou PFX. AWS propose également une interface console où vous pouvez soumettre la CSR via un formulaire. La documentation AWS recommande de vérifier que votre CA est au statut ACTIF avant d’émettre des certificats. Cette approche est idéale pour les environnements cloud où l’automatisation est prioritaire.
Si vous préférez une méthode graphique, rendez-vous dans la console AWS, sélectionnez votre CA privée, cliquez sur « Émettre un certificat », puis collez la CSR. Remplissez les champs facultatifs comme le nom du sujet et choisissez le modèle de certificat. Après validation, le certificat est généré et peut être téléchargé directement. Cette méthode est utile pour les tests ou les déploiements ponctuels.

Délivrance via Microsoft Windows CA Server
Pour les organisations utilisant un environnement Windows Server, le rôle Certification Authority est souvent intégré. Ouvrez la console MMC en exécutant mmc.exe et ajoutez le snap-in « Autorité de certification ». Dans l’arborescence, déroulez le nœud de votre CA, puis sélectionnez « Demandes en attente ». Vous verrez la liste des CSR soumises, chacune avec un statut « En attente ». Pour approuver une demande, faites un clic droit sur la demande et choisissez « Toutes les tâches » puis « Délivrer ». Le certificat est alors signé et placé dans le dossier « Certificats délivrés ».
Si vous devez délivrer un certificat manuellement pour un utilisateur spécifique, la procédure est similaire. Après avoir soumis la CSR via le site web des services de certificats (généralement accessible via http://serveur/certsrv), l’administrateur peut la récupérer dans les demandes en attente. La fenêtre de validation affiche les détails de la demande, comme le demandeur et le type de certificat. Une fois approuvé, le certificat peut être exporté en format PFX avec clé privée pour une installation sur le poste client. Microsoft recommande de bien configurer les modèles de certificat pour éviter les erreurs de délivrance.
Délivrance via Google Cloud Certificate Authority Service
Google Cloud propose un service de CA géré, idéal pour les certificats TLS ou de signature de code. Connectez-vous à la console Google Cloud, puis accédez à la page « Certificate Authority Service ». Sélectionnez le pool de CA dans la région appropriée, puis cliquez sur le bouton « Créer un certificat ». Vous pouvez choisir un modèle de certificat préconfiguré via le « Gestionnaire de modèles ». Par exemple, un modèle peut inclure des champs comme le nom commun et l’organisation.

Dans le formulaire de création, vous avez deux options : générer une CSR automatiquement ou soumettre une CSR existante. L’option « Générer un certificat » est plus simple pour les utilisateurs novices : le service crée la paire de clés et le certificat en une seule étape. Vous pouvez ensuite télécharger le certificat au format PEM. Si vous optez pour une CSR externe, collez le contenu dans le champ prévu. Après validation, le certificat est délivré et apparaît dans la liste des certificats du pool. Google Cloud recommande de spécifier une durée de validité adaptée à votre politique de sécurité.
Délivrance sur les plateformes éducatives et RH
Les plateformes comme Classera ou Certifier simplifient la délivrance de certificats pour des formations, des événements ou des reconnaissances internes. Le processus se déroule en trois étapes : la sélection d’un modèle, le choix des destinataires et l’émission. Sur Classera, connectez-vous en tant qu’administrateur, accédez à la section « Certificats », puis cliquez sur « Émettre des certificats ». Vous pouvez importer une liste de participants via un fichier CSV contenant les noms, adresses e-mail et dates de complétion.
Certifier fonctionne de manière similaire : choisissez un modèle prédéfini, personnalisez les champs dynamiques comme le nom du cours et la date, puis cliquez sur « Délivrer ». La plateforme génère le certificat au format PDF et l’envoie par e-mail à chaque destinataire. Ces solutions n’exigent pas de connaissances techniques en PKI, mais elles sont limitées aux certificats non cryptographiques. Pour des certificats signés numériquement avec une valeur légale, il faut recourir à une CA reconnue.

Étapes clés pour une délivrance réussie
Voici une liste des actions indispensables à réaliser avant et pendant la délivrance d’un certificat :
- Vérifier l’état de votre autorité de certification.
- Générer une CSR correctement formatée avec les informations nécessaires.
- Choisir un algorithme de signature adapté, comme SHA256withRSA.
- Définir une période de validité conforme à vos besoins.
- Soumettre la demande via l’interface appropriée (CLI, console API).
- Approuver manuellement les demandes en attente le cas échéant.
- Exporter le certificat signé dans le format requis (PEM, PFX, DER).
- Tester le certificat sur l’application cible avant déploiement massif.
Formats de certificats et exportation
Le tableau suivant résume les formats les plus courants après délivrance d’un certificat :
| Format | Extension | Usage typique |
|---|---|---|
| PEM | .pem .crt .cer | Serveurs web, configurations Linux |
| PFX/PKCS12 | .pfx .p12 | Windows, IIS, importation dans un magasin de certificats |
| DER | .der .cer | Java, applications embarquées |
Lorsque vous exportez un certificat, assurez-vous d’inclure la clé privée si nécessaire. Dans AWS Private CA, l’exportation de la clé privée n’est possible que si elle a été générée par le service. Pour Windows CA, vous pouvez exporter le certificat avec clé privée via la console des certificats, à condition que l’option d’exportation soit activée.

Problèmes courants et résolutions
Un problème fréquent est le refus de la demande par la CA. Cela peut être dû à une CSR mal formatée, un algorithme non supporté ou une période de validité trop longue. Vérifiez que la CSR utilise un algorithme comme RSA 2048 bits ou ECDSA. Un autre souci est l’absence de réponse après soumission : dans ce cas, consultez les logs de la CA. Sur Windows, ouvrez l’Observateur d’événements et filtrez par source « CertSrv ». Sur AWS, utilisez CloudWatch pour tracer les appels API.
Un souci récurrent dans les environnements cloud est la configuration des autorisations IAM. Pour AWS Private CA, le rôle utilisateur doit avoir les droits acm-pca:IssueCertificate et acm-pca:GetCertificate. Sur Google Cloud, vérifiez les rôles privateca.certificateManager. Si vous utilisez une plateforme comme Classera, le problème peut provenir d’un modèle de certificat non configuré ou d’une limite de nombre de certificats.
Bonnes pratiques pour la gestion des certificats
Pour garantir la sécurité et la traçabilité, appliquez une politique de renouvellement automatique avant expiration. Utilisez des modèles de certificats standardisés pour réduire les erreurs humaines. Dans un environnement d’entreprise, centralisez la délivrance via un système de gestion des certificats (CLM) qui surveille les dates d’expiration. Pour les certificats émis sur des plateformes éducatives, vérifiez que les informations des destinataires sont exactes avant d’appuyer sur le bouton d’émission.
Pensez également à sauvegarder votre autorité de certification et ses clés privées dans un module de sécurité matériel (HSM) ou un service de gestion de clés cloud. Enfin, documentez chaque délivrance avec un identifiant unique pour faciliter les audits. La délivrance de certificats est une opération sensible qui nécessite rigueur et méthode, mais avec les bons outils et une procédure claire, vous pouvez la réaliser efficacement.
Références
AWS Documentation: Issue private end-entity certificates. Consulté à l’adresse https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html.
AWS CLI Reference: issue-certificate. Consulté à l’adresse https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html.
Microsoft Learn: How to manually create client certificate on CA server. Consulté à l’adresse https://learn.microsoft.com/en-us/answers/questions/1469140/how-to-manually-create-client-certificate-on-ca-se.
Google Cloud Docs: Request a certificate using a certificate template. Consulté à l’adresse https://cloud.google.com/certificate-authority-service/docs/issue-certificate-using-template.
ScienceDirect: Issuing Certificate – an overview. Consulté à l’adresse https://www.sciencedirect.com/topics/computer-science/issuing-certificate.
Medium: Introduction to Certificate Issuance in PKI. Consulté à l’adresse https://medium.com/@happygoat/introduction-to-certificate-issuance-in-pki-c83aae570a62.
Classera User Manual: Issue Certificates. Consulté à l’adresse https://manual.classera.com/docs/issue-certificates/.
Certifier Blog: How to Create a Digital Certificate. Consulté à l’adresse https://certifier.io/blog/how-to-create-certificates-online-in-3-easy-steps.





