Utilisation de OpenSSL

Afin de générer les demandes de certificats à CACert.Org, on utiliser openssl.

Génération de la clé

On ne fait ça qu'une fois :

openssl genrsa -out key.raw 4096

Cette clé est enregistrée dans « /etc/ssl/private ». Cette clé n'est pas protégée par un mot de passe pour que le démon chargé du service ne bloque pas au démarrage.

Pour que apache puisse le lire, on change les droits pour avoir ça :

sudo ls -al /etc/ssl/private/
total 12
drwxr-x--- 2 root www-data 4096 2009-02-14 13:28 .
drwxr-xr-x 4 root root     4096 2009-02-14 12:42 ..
-rw-r----- 1 root www-data 3243 2009-02-14 13:28 key.raw

Génération de la requête

La requête contient un nom commun (CN) et des appellations alternatives (subjectAltName). Ces noms et appellations représente le nom du site web.

openssl req -new -sha1 -utf8 -key key.raw -subj /C=FR/CN=xena.servideo.org/subjectAltName=DNS:wiki.servideo.org/subjectAltName=DNS:www.servideo.org -nodes -out toussites.req

Génération de la requête

Cette requête est envoyée via le site web de cacert qui renvoie le certificat. On l'enregistre dans « /etc/ssl/certs ».

Conclusion

Il faut regénérer une nouvelle requête à chaque fois que l'on ajoute un nouveau service web sécurisé passant par xena.

CategoryDocXen

SerWikiDeo: GestionSSL (last edited 2009-03-07 13:35:21 by RomainChantereau)