[Linux-bruxelles] Certificat pour site sécurisé
eric Hanuise
ehanuise at fantasybel.net
Lun 22 Juil 21:46:08 CEST 2002
oui, générer ton propre certificat. Ca a l'air un peu moins 'pro' mai ca
marche tres bien.
exemple : https://webmail.sodexho.be ou https://www.fantasybel.net
voici le script qui les a générés, fait maison :
#!/bin/bash
echo ----------------------------------------
echo creating dsa and rsa dirs
echo ----------------------------------------
mkdir ./dsa
mkdir ./rsa
echo ----------------------------------------
echo creating dsa parameters for CA
echo ----------------------------------------
/usr/bin/openssl dsaparam -out ./dsa/CA.prm -rand /var/log/messages 1024
echo ----------------------------------------
echo generating CA RSA private key
echo ----------------------------------------
/usr/bin/openssl genrsa -out ./rsa/CA.key -rand /var/log/messages 1024
echo ----------------------------------------
echo generating CA DSA private key
echo ----------------------------------------
/usr/bin/openssl gendsa -out ./dsa/CA.key -rand /var/log/messages ./dsa/CA.prm
echo ----------------------------------------
echo generating RSA CA certification signing request
echo ----------------------------------------
/usr/bin/openssl req -new -key ./rsa/CA.key -out ./rsa/CA.csr
echo ----------------------------------------
echo generating DSA CA certification signing request
echo ----------------------------------------
/usr/bin/openssl req -new -key ./dsa/CA.key -out ./dsa/CA.csr
echo ----------------------------------------
echo generating self-signed RSA CA x509 certificate
echo ----------------------------------------
/usr/bin/openssl x509 -in ./rsa/CA.csr -out ./rsa/CA.crt -req -signkey
./rsa/CA.key
echo ----------------------------------------
echo generating self-signed DSA CA x509 certificate
echo ----------------------------------------
/usr/bin/openssl x509 -in ./dsa/CA.csr -out ./dsa/CA.crt -req -signkey
./dsa/CA.key
echo ----------------------------------------
echo generating DSA server parameters
echo ----------------------------------------
/usr/bin/openssl dsaparam -out ./dsa/server.prm -rand /var/log/messages 1024
echo ----------------------------------------
echo generating RSA server private key
echo ----------------------------------------
/usr/bin/openssl genrsa -out ./rsa/server.key -rand /var/log/messages 1024
echo ----------------------------------------
echo generating DSA server private key
echo ----------------------------------------
/usr/bin/openssl gendsa -out ./dsa/server.key -rand /var/log/messages
./dsa/server.prm
echo ----------------------------------------
echo generating RSA server certification signing request
echo ----------------------------------------
/usr/bin/openssl req -new -key ./rsa/server.key -out ./rsa/server.csr
echo ----------------------------------------
echo generating DSA server certification signing request
echo ----------------------------------------
/usr/bin/openssl req -new -key ./dsa/server.key -out ./dsa/server.csr
echo ----------------------------------------
echo generating CA signed server RSA certificate
echo ----------------------------------------
/usr/bin/openssl x509 -in ./rsa/server.csr -days 365 -CAcreateserial -CA
./rsa/CA.crt -CAkey ./rsa/CA.key -req -out ./rs
a/server.crt
echo ----------------------------------------
echo generating CA signed DSA server certificate
echo ----------------------------------------
/usr/bin/openssl x509 -in ./dsa/server.csr -days 365 -CAcreateserial -CA
./dsa/CA.crt -CAkey ./dsa/CA.key -req -out ./ds
a/server.crt
echo ----------------------------------------
echo Done
echo ----------------------------------------
ls -al ./rsa/
echo ----------------------------------------
ls -al ./dsa/
echo ----------------------------------------
--------------------------------------------------------------------------------------------------------------------------------------------------------
et pour les recopier aux bons endroits
#!/bin/bash
cp ./rsa/server.crt /etc/apache/ssl.crt/rsa-server.crt
cp ./dsa/server.crt /etc/apache/ssl.crt/dsa-server.crt
cp ./rsa/CA.crt /etc/apache/ssl.crt/rsa-CA.crt
cp ./dsa/CA.crt /etc/apache/ssl.crt/dsa-CA.crt
openssl rsa -in ./rsa/server.key -out /etc/apache/ssl.key/rsa-server.key
openssl dsa -in ./dsa/server.key -out /etc/apache/ssl.key/dsa-server.key
chmod 400 /etc/apache/ssl.key/rsa-server.key
chmod 400 /etc/apache/ssl.key/dsa-server.key
-------------------------------------------------------------------------------------------------------------------------------
enfin, pour générer des clefs imap/ssl email
#!/bin/bash
openssl req -rand /var/run/egd-pool -new -x509 -nodes -out imapd.pem -days
365 -keyout imapd.pem -days 365
# openssl req -rand /var/run/egd-pool -new -x509 -nodes -out imapd2.pem
-keyout imapd2.pem
et les recopier avec
-----------------------------------------------------------------------------------------------------------------------------
#!/bin/bash
cp imapd.pem /etc/ssl/certs/
#cp imapd2.pem /etc/ssl/certs/
-----------------------------------------------------------------------------------------------------------------------------
attention, ne pas recopier betement les scripts, et bien prendre le temps
de lire la doc, sinon tu prends de gros risques de te tromper.
At 20:35 22/07/2002 +0200, you wrote:
>Bonsoir,
>
>Après avoir installé mod_ssl(1) pour obtenir une belle
>adresse précédée de https pour mon petit site Web et
>avoir testé le tout avec un certicat ... euh, de test
>oui. J'ai voulu savoir quelles étaient les démarches
>à faire pour obtenir un beau certificat certifié avec
>le cachet et tout et tout.
>
>Là, horreur, j'ai constaté que les prix étaient totalement
>disproportionnés par rapport l'usage que je voulais en faire
>(aux alentours de 150 EUR htva).
>
>Existe-t-il une solution moins honéreuse?
>
>
>Tout commentaire/expérience/suggestion/idée est le bienvenu.
>
>Merci.
>
>
>(1) Mandrake 8.2, Apache-AdvancedExtranetServer/1.3.23,
> Interface: mod_ssl/2.8.7, Library: OpenSSL/0.9.6c
>
>
>--
>Gaëtan
>
>
>
>_______________________________________________
>Linux-bruxelles mailing list
>Linux-bruxelles at lists.bxlug.be
>http://www.bxlug.be/mailman/listinfo/linux-bruxelles
>
Plus d'informations sur la liste de diffusion Linux-bruxelles