Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?

To: debian-user-french@lists.debian.org
Subject: Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
From: Marc PERRUDIN <debianNOSPAM@mp342.org>
Date: Thu, 15 Dec 2005 09:11:47 +0100
Message-id: <[🔎] 43A12543.5070600@mp342.org>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 200512141821.48158@gnu-linux-debian>
References: <[🔎] 200512141208.59657@gnu-linux-debian> <[🔎] 43A01386.5010505@mp342.org> <[🔎] 200512141821.48158@gnu-linux-debian>

Wolfgod a écrit :

>Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :
>  
>
>>Wolfgod a écrit :
>>    
>>
>>>Bonjour la liste,
>>>      
>>>
>>Bonjour,
>>
>>    
>>
>>>Peut-on créer un certificat serveur illimité au lieu d'un mois?
>>>
>>>#openssl genrsa -des3 1024 > x.key
>>>-----------------------------------------------
>>>#Generating RSA private key, 1024 bit long modulus
>>>............++++++............++++++
>>>e is 65537 (0x10001)
>>>Enter pass phrase:passwd
>>>Verifying - Enter pass phrase:passwd
>>>#
>>>etc...
>>>      
>>>
>>De memoire, je crois que par defaut, un certificat genéré avec openssl
>>est valide 1 an. Ce comportement est modifiable avec le fichier
>>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat
>>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
>>utilise une autorité de certification, celle-ci doit etre valide plus
>>longtemps que ton certificat. Par contre, la commande que tu indique
>>genere une clé privée, celle-ci n'a pas de durée de vie, seul les
>>certificats ont une date de debut et de fin.
>>    
>>
>Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien 
>précisé :
>
>default_days = 365  
>
>mais curieusement après avoir créer le certificat sa validation est de 1 
>mois!!!
>
>manioul dit:
>
>#openssl genrsa -days 365 -des3 1024 > x.key
>
>Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un 
>bug ?
>  
>
En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key   (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

>
>        -^-
>      ( ° ° )   
>       / V \      
>    //  ` ` \\           
>  /(    `      )\                 
>    ^`~`^
>    
> Contre le projet DADVSI
> http://boisson.homeip.net:8080/petition.php
> *************************************************************************
> Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
> *************************************************************************
>
>  
>

Reply to:

Follow-Ups:
- Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
  - From: Wolfgod <wolfgod@wanadoo.fr>

References:
- Peut-on créer un certificat serveur illimité au lieu d'un mois?
  - From: Wolfgod <wolfgod@wanadoo.fr>
- Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>
- Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
  - From: Wolfgod <wolfgod@wanadoo.fr>

Prev by Date: Re: passage au noyau 2.6.14-2-k7 -> set_rtc_mmss
Next by Date: Re: passer à UTF8
Previous by thread: Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
Next by thread: Re: Peut-on créer un certificat serveur illimité au lieu d'un mois?
Index(es):
- Date
- Thread