Re: Certificats SSL
Le 22/07/16 à 10:48, "Ph. Gras" <ph.gras@worldonline.fr> a écrit :
PG> Merci Vincent :-)
PG>
PG> >> openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr
PG> >>
PG> >> Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se
PG> >> placer dans /etc/ssl/certs où que je l'exécute, et la clé dans
PG> >> /etc/ssl/private ?
PG> >
PG> > Les deux fichiers mentionnés dans la commande se retrouveront dans le
PG> > répertoire en cours. Il n'y a pas encore de certificat à cette étape
PG> > (c'est Gandi qui le fournira après leur avoir donné le CSR).
PG> > --
PG>
PG> c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer
PG> avec ceux qui se trouvent dans /etc/ssl.
Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en
arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de
certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un
mail te disant comment le récupérer).
PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour
PG> préserver une continuité du service inverser toutes les redirections du port 443
PG> vers le port 80 ?
Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que
tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche
(sinon tu remet l'ancien et nouveau reload).
Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la
changer (soit remplacer le fichier soit changer le chemin dans la conf apache).
--
Daniel
Reporter : What's your longevity secret ?
Winston Churchill : Whisky, cigars and no sports.
(il aurait en fait répondu "low sport", mais la légende est plus drôle)
Reply to: