Un certificat a une duree de vie, souvent de 1 an. L’article indique comment
creer un nouveau certificat.
Se placer dans /etc/apache-ssl.
Generer la bi-cleRSA, qui peux erre protege par une passphrase. Pour se faciliter la vie, on ne met pas la
phrase de passe. Ceci nous evite de devoir la retaper a chaque redemarrage du
serveur.
openssl genrsa
-out server.key 1024
Nous generons ensuite le certificat autosigne.
openssl req -new -x509 -days 365 -key server.key
-out server.crt
Dans les questions posees, il faut faire attention au champ Common
Name (eg, YOUR name) :. Il faut mettre le meme nom que le serveur, pour
mon cas outils-rezo.info. Sinon, nous aurons un
message comme quoi le nom du proprietaire du certificat et du site ne
correspond pas.
* -x509 : generation d'un certificat autosigné,
et non d'une simple requete
* -days 365 : le certificat est valable 365 jours
* -key server.key : la clé
publique est extraite de la bi-cle precedente
* -out server.crt : le certificat est copie
Le certificat n'est pas signe par une autorite de certification (type verisign). Ainsi, lors de son utilisation, le browser
affichera une anomalie.
Pour verifier le bon usage du certificat :
openssl x509 -in server.crt
-text -noout
Nous devons maintenant remplacer l'ancien certificat d'apache-ssl
(apache.pem)
cat server.key > apache.pem
cat server.crt >> apache.pem
Il faut maintenant redemarrer le serveur apache et verifier le bon
fonctionnement.
/etc/init.d/apache-ssl restart