Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian openssl_signature impossible

openssl_signature impossible

6 réponses
Avatar
maderios
Bonjour =C3=A0 toutes/tous
J'essaie laborieusement de g=C3=A9n=C3=A9rer un certificat SSL pour Postfix=
afin
d=E2=80=99utiliser le smtp de gmail en smarthost/relay).
J'ai r=C3=A9ussi =C3=A0 g=C3=A9n=C3=A9rer et signer ce certificat une premi=
=C3=A8re fois, sauf
que Postfix a refus=C3=A9 de red=C3=A9marrer en se plaignant d'un 'host unk=
nown'.
J'en ai conclu que le 'commonName' que j'ai rentr=C3=A9 apr=C3=A8s la
commande '/usr/lib/ssl/misc/CA.pl -newca' n'est pas le bon.
J'avais rentr=C3=A9 mon nom d'utilisateur gmail et je pense que c'=C3=A9tai=
t une
erreur.
Pas simple comme c'est expliqu=C3=A9 ici=20
http://www.madboa.com/geek/openssl/

'Using this command-line invocation, you=E2=80=99ll have to answer a lot of
questions: Country Name, State, City, and so on. The tricky question is
=E2=80=9CCommon Name.=E2=80=9D You=E2=80=99ll want to answer with the hostn=
ame or CNAME by
which people will address the server. This is very important. If your
web server=E2=80=99s real hostname is mybox.mydomain.com but people will be
using www.mydomain.com to address the box, then use the latter name to
answer the =E2=80=9CCommon Name=E2=80=9D question.'

J'ai donc recommenc=C3=A9 =C3=A0 g=C3=A9n=C3=A9rer le certificat en mettant
'lenomdemamachine' comme commonname.
Patatra au moment de signer:

Certificate is to be certified until May 22 13:11:10 2011 GMT (365 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

Apr=C3=A8s moult recherches, je v=C3=A9rifie que il y a bien "unique_subje=
ct =3D
no" dans mon openssl.conf et je supprime les key.pem, etc, pr=C3=A9c=C3=A9=
dents.
Je recommence, idem.
Je recommence en rempla=C3=A7ant 'lenomdemamachine' par 'localhost', idem
Donc impossibilit=C3=A9 de signer ce foutu certificat qui a pourtant =C3=A9=
t=C3=A9
cr=C3=A9=C3=A9.
Et donc, si l'un/une d'entre vous a une id=C3=A9e sur le sujet, merci
d'avance. Moi je cale .......
M

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100522154556.75780248@salix
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
François Cerbelle
--yrj/dFKFPuw6o+aM
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Saturday 22 May 2010 à 15:45:56 (+0200), maderios a écrit :
J'essaie laborieusement de générer un certificat SSL pour Postf ix afin
d’utiliser le smtp de gmail en smarthost/relay).
J'ai réussi à générer et signer ce certificat une pre mière fois, sauf
que Postfix a refusé de redémarrer en se plaignant d'un 'host u nknown'.



Ca ne t'aidera peut être pas à maîtriser le fonctionnement d es
clés/certificats, mais si tu as déjà les bases, tu devrais e ssayer
le paquet tinyca, l'interface X d'un PKI ultraminimum, mais super
pratique pour gérer les clés/certificats pour quelques CA, quelqu es
délégations par CA et quelques utilisateurs/serveurs par CA.

Il permet assez simplement de générer des certificats sans mot de passe,
avec ou sans la clé privées, dans différents formats, et m ême avec les
extensions pour permettre d'utiliser HTTPS sur virtualhosts HTTPS.

Fanfan

--
Le monde est composé de flesh et de molécules, et d'électric ité,comme
le Big-Bang tu vois, et tout ça ensemble, ça forme l'Univers.
[J.C. VanDamme]

--yrj/dFKFPuw6o+aM
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFL9+uhn0FdfiSfsswRAgzrAJ47bHXAjoY3UbfpOrxsQiTv+jj2UQCfT7PJ
6ol+oghM+BHlX+F67VixuQI ¬lB
-----END PGP SIGNATURE-----

--yrj/dFKFPuw6o+aM--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Sat, 22 May 2010 15:45:56 +0200,
maderios a écrit :


Comme l'a dit François, ça ne dispense pas de lire les docs; mais étant
donné que ça fait partie des trucs triviaux mais mégachiants où l'on passe
trop de temps V. attachment.

...
J'essaie laborieusement de générer un certificat SSL pour Postf ix afin


...


--
Why does a ship carry cargo and a truck carry shipments?

--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_1.sh

IyEvYmluL3NoCgojIENyw6llciB1biBub3V2ZWF1IENBCi91c3IvbGliL3NzbC9taXNjL0NBLnBs
IC1uZXdjYQoKCgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_2.sh

IyEvYmluL3NoCgojIEfDqW7DqXJlciB1biBjZXJ0aWZpY2F0ZSByZXF1ZXN0Ci91c3IvbGliL3Nz
bC9taXNjL0NBLnBsIC1uZXdyZXEKCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_3.sh

IyEvYmluL3NoCgojIFNpZ25lciBsZSBjZXJ0aWZpY2F0ZSByZXF1ZXN0Ci91c3IvbGliL3NzbC9t
aXNjL0NBLnBsIC1zaWduCgoKCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_4.sh

IyEvYmluL3NoCgojIFJlbm9tbWVyIGxlcyBmaWNoaWVycyBjcsOpw6lzICYgY2htb2QgIGNob3du
IGRlIHPDqWN1cml0w6kgc3VyIGxhIGNsw6kgcHJpdsOpZSBldCBsZSByZXN0ZSAocGFzIGRlIGxl
Y3R1cmUgIm90aGVyIikKbXYgbmV3Y2VydC5wZW0gc2VydmVyLWNlcnQucGVtCm12IG5ld2tleS5w
ZW0gc2VydmVyLWtleS5wZW0KbXYgbmV3cmVxLnBlbSBzZXJ2ZXItcmVxLnBlbQoKY2htb2QgNDQw
IHNlcnZlci1jZXJ0LnBlbQpjaG1vZCA0MDAgc2VydmVyLWtleS5wZW0KY2htb2QgNDQwIHNlcnZl
ci1yZXEucGVtCgpjaG93biByb290Ond3dy1kYXRhIHNlcnZlci1jZXJ0LnBlbQpjaG93biByb290
Ond3dy1kYXRhIHNlcnZlci1rZXkucGVtCmNob3duIHJvb3Q6d3d3LWRhdGEgc2VydmVyLXJlcS5w
ZW0KCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_5.sh

IyEvYmluL3NoCgojIFZpcmVyIGxlIFAvVyBkZSBQUk9URUNUSU9OIHNpbm9uIGF1IHJlYm9vdCwg
bGUgU1ZSIFdFQiB2YSBzdG9wcGVyIGV0IEFUVEVORFJFIGNlIFAvVwpjcCBzZXJ2ZXIta2V5LnBl
bSBzZXJ2ZXIta2V5LnBlbS5PUkctd2l0aC1wYXNzd29yZApvcGVuc3NsIHJzYSAtaW4gc2VydmVy
LWtleS5wZW0uT1JHLXdpdGgtcGFzc3dvcmQgLW91dCBzZXJ2ZXIta2V5LnBlbQpjaG1vZCA0MDAg
c2VydmVyLWtleS5wZW0KCiMgRXQgZW4gZGVybmllciB2aXJlciBsZSBkaXIKcm0gLXIgZGVtb0NB
Cgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_check.sh

IyEvYmluL3NoCgojIFbDqXJpZmllciBxdWUgbGVzIHBhcnRpZXMgIm1vZHVsdXMiICYgInB1Ymxp
YyBleHBvbmVudCIgZGUgbGEgY2zDqSBwcml2w6kgZXQgZHUgY2VydGlmaWNhdCBjb3JyZXNwb25k
ZW50Cm9wZW5zc2wgeDUwOSAtbm9vdXQgLW1vZHVsdXMgLWluIHNlcnZlci1jZXJ0LnBlbSB8IG9w
ZW5zc2wgbWQ1Cm9wZW5zc2wgIHJzYSAtbm9vdXQgLW1vZHVsdXMgLWluIHNlcnZlci1rZXkucGVt
IHwgb3BlbnNzbCBtZDUKZWNobyAiQ2VzIDIgY2hla3N1bXMgZG9pdmVudCDDqnRyZSBpZGVudGlx
dWVzICEiCgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
maderios
Le Sat, 22 May 2010 17:05:33 +0200,
"Jean-Yves F. Barbier" a écrit :

Le Sat, 22 May 2010 15:45:56 +0200,
maderios a écrit :


Comme l'a dit François, ça ne dispense pas de lire les docs; ma is
étant donné que ça fait partie des trucs triviaux mais m égachiants où
l'on passe trop de temps V. attachment.

...
> J'essaie laborieusement de générer un certificat SSL pour Pos tfix
> afin



Je préfère la ligne de commande. Nettement plus transparent .....
Comme je l'ai expliqué, le certificat est généré. Le se ul problème,
c'est qu'il m'est impossible de le signer:

Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
François Cerbelle
--fUYQa+Pmc3FrFX/N
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Saturday 22 May 2010 à 21:03:08 (+0200), Jean-Yves F. Barbier a écri t :
[...]
après, contrairement à certaines docs, il faut copier le certif
dans /etc/ssl/certs, et la clé privée dans /etc/ssl/private.



Ne faut il pas plutot utiliser update-ca-certificates, placer les clés
dans /usr/shares/ca-certificates, modifier le fichier
/etc/ca-certificates.conf (dpkg-reconfigure ca-certificates) pour
(dés)activer les certificats et relancer update-ca-certificates pour
peupler automatiquement /etc/ssl/{certs, private} avec les bons droits
et surtout l'assurance que les fichiers ne soient pas supprimés.

Perso, en tout cas, je fais comme ca.

Fanfan

--
Lorsque l'enfant paraît, le cercle de famille applaudit à grands cris.
[ Victor Hugo ]

--fUYQa+Pmc3FrFX/N
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFL+DZZn0FdfiSfsswRAsZfAJ9cXYNDtgWrQKzBQP2xGWz3O6SYxgCfQvNc
w+ZcoUdDPgCpQb0CsKOSjUU =OKi+
-----END PGP SIGNATURE-----

--fUYQa+Pmc3FrFX/N--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
maderios
Le problème n'est pas de générer un certificat mais de le si gner.
Pour résumer
J'ai généré et signé un certificat une première fo is, sauf
que Postfix a refusé de redémarrer en se plaignant d'un 'host
unknown'.
J'ai changé l'host puis généré un nouveau certificat ma is impossible à
signer:
> Sign the certificate? [y/n]:y
> failed to update database
> TXT_DB error number 2



D'après certaines doc, Il me faudrait révoquer le premier certifi cat.
Problème, j'ai supprimé le ./demoCA contenant le certificat
Mon point de départ
http://blog.admin-linux.org/messagerie/ajouter-le-smtp-de-gmail-en-smarthos t-avec-postfix-sous-ubuntu-server
http://wiki.linuxmce.org/index.php/Postfix_configured_with_Gmail_SMTP

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
maderios
Sinistre oubli : J'avais commenté la ligne
'unique_subject' dans mon ./openssl.cnf
Merci pour vos réponses
M

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/