openssl_signature impossible

Le
maderios
Bonjour à toutes/tous
J'essaie laborieusement de générer un certificat SSL pour Postfix=
afin
d’utiliser le smtp de gmail en smarthost/relay).
J'ai réussi à générer et signer ce certificat une premi=
ère fois, sauf
que Postfix a refusé de redémarrer en se plaignant d'un 'host unk=
nown'.
J'en ai conclu que le 'commonName' que j'ai rentré après la
commande '/usr/lib/ssl/misc/CA.pl -newca' n'est pas le bon.
J'avais rentré mon nom d'utilisateur gmail et je pense que c'étai=
t une
erreur.
Pas simple comme c'est expliqué ici
http://www.madboa.com/geek/openssl/

'Using this command-line invocation, you’ll have to answer a lot of
questions: Country Name, State, City, and so on. The tricky question is
“Common Name.” You’ll want to answer with the hostn=
ame or CNAME by
which people will address the server. This is very important. If your
web server’s real hostname is mybox.mydomain.com but people will be
using www.mydomain.com to address the box, then use the latter name to
answer the “Common Name” question.'

J'ai donc recommencé à générer le certificat en mettant
'lenomdemamachine' comme commonname.
Patatra au moment de signer:

Certificate is to be certified until May 22 13:11:10 2011 GMT (365 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

Après moult recherches, je vérifie que il y a bien "unique_subje=
ct =
no" dans mon openssl.conf et je supprime les key.pem, etc, précé=
dents.
Je recommence, idem.
Je recommence en remplaçant 'lenomdemamachine' par 'localhost', idem
Donc impossibilité de signer ce foutu certificat qui a pourtant é=
té
créé.
Et donc, si l'un/une d'entre vous a une idée sur le sujet, merci
d'avance. Moi je cale .
M

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100522154556.75780248@salix
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Cerbelle
Le #22154101
--yrj/dFKFPuw6o+aM
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Saturday 22 May 2010 à 15:45:56 (+0200), maderios a écrit :
J'essaie laborieusement de générer un certificat SSL pour Postf ix afin
d’utiliser le smtp de gmail en smarthost/relay).
J'ai réussi à générer et signer ce certificat une pre mière fois, sauf
que Postfix a refusé de redémarrer en se plaignant d'un 'host u nknown'.



Ca ne t'aidera peut être pas à maîtriser le fonctionnement d es
clés/certificats, mais si tu as déjà les bases, tu devrais e ssayer
le paquet tinyca, l'interface X d'un PKI ultraminimum, mais super
pratique pour gérer les clés/certificats pour quelques CA, quelqu es
délégations par CA et quelques utilisateurs/serveurs par CA.

Il permet assez simplement de générer des certificats sans mot de passe,
avec ou sans la clé privées, dans différents formats, et m ême avec les
extensions pour permettre d'utiliser HTTPS sur virtualhosts HTTPS.

Fanfan

--
Le monde est composé de flesh et de molécules, et d'électric ité,comme
le Big-Bang tu vois, et tout ça ensemble, ça forme l'Univers.
[J.C. VanDamme]

--yrj/dFKFPuw6o+aM
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFL9+uhn0FdfiSfsswRAgzrAJ47bHXAjoY3UbfpOrxsQiTv+jj2UQCfT7PJ
6ol+oghM+BHlX+F67VixuQI ¬lB
-----END PGP SIGNATURE-----

--yrj/dFKFPuw6o+aM--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #22154301
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Sat, 22 May 2010 15:45:56 +0200,
maderios

Comme l'a dit François, ça ne dispense pas de lire les docs; mais étant
donné que ça fait partie des trucs triviaux mais mégachiants où l'on passe
trop de temps V. attachment.

...
J'essaie laborieusement de générer un certificat SSL pour Postf ix afin


...


--
Why does a ship carry cargo and a truck carry shipments?

--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_1.sh

IyEvYmluL3NoCgojIENyw6llciB1biBub3V2ZWF1IENBCi91c3IvbGliL3NzbC9taXNjL0NBLnBs
IC1uZXdjYQoKCgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_2.sh

IyEvYmluL3NoCgojIEfDqW7DqXJlciB1biBjZXJ0aWZpY2F0ZSByZXF1ZXN0Ci91c3IvbGliL3Nz
bC9taXNjL0NBLnBsIC1uZXdyZXEKCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_3.sh

IyEvYmluL3NoCgojIFNpZ25lciBsZSBjZXJ0aWZpY2F0ZSByZXF1ZXN0Ci91c3IvbGliL3NzbC9t
aXNjL0NBLnBsIC1zaWduCgoKCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_4.sh

IyEvYmluL3NoCgojIFJlbm9tbWVyIGxlcyBmaWNoaWVycyBjcsOpw6lzICYgY2htb2QgIGNob3du
IGRlIHPDqWN1cml0w6kgc3VyIGxhIGNsw6kgcHJpdsOpZSBldCBsZSByZXN0ZSAocGFzIGRlIGxl
Y3R1cmUgIm90aGVyIikKbXYgbmV3Y2VydC5wZW0gc2VydmVyLWNlcnQucGVtCm12IG5ld2tleS5w
ZW0gc2VydmVyLWtleS5wZW0KbXYgbmV3cmVxLnBlbSBzZXJ2ZXItcmVxLnBlbQoKY2htb2QgNDQw
IHNlcnZlci1jZXJ0LnBlbQpjaG1vZCA0MDAgc2VydmVyLWtleS5wZW0KY2htb2QgNDQwIHNlcnZl
ci1yZXEucGVtCgpjaG93biByb290Ond3dy1kYXRhIHNlcnZlci1jZXJ0LnBlbQpjaG93biByb290
Ond3dy1kYXRhIHNlcnZlci1rZXkucGVtCmNob3duIHJvb3Q6d3d3LWRhdGEgc2VydmVyLXJlcS5w
ZW0KCg=
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_5.sh

IyEvYmluL3NoCgojIFZpcmVyIGxlIFAvVyBkZSBQUk9URUNUSU9OIHNpbm9uIGF1IHJlYm9vdCwg
bGUgU1ZSIFdFQiB2YSBzdG9wcGVyIGV0IEFUVEVORFJFIGNlIFAvVwpjcCBzZXJ2ZXIta2V5LnBl
bSBzZXJ2ZXIta2V5LnBlbS5PUkctd2l0aC1wYXNzd29yZApvcGVuc3NsIHJzYSAtaW4gc2VydmVy
LWtleS5wZW0uT1JHLXdpdGgtcGFzc3dvcmQgLW91dCBzZXJ2ZXIta2V5LnBlbQpjaG1vZCA0MDAg
c2VydmVyLWtleS5wZW0KCiMgRXQgZW4gZGVybmllciB2aXJlciBsZSBkaXIKcm0gLXIgZGVtb0NB
Cgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ
Content-Type: application/x-shellscript
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=SCRIPT_DOC_CHEROKEE_CLES_CERT_check.sh

IyEvYmluL3NoCgojIFbDqXJpZmllciBxdWUgbGVzIHBhcnRpZXMgIm1vZHVsdXMiICYgInB1Ymxp
YyBleHBvbmVudCIgZGUgbGEgY2zDqSBwcml2w6kgZXQgZHUgY2VydGlmaWNhdCBjb3JyZXNwb25k
ZW50Cm9wZW5zc2wgeDUwOSAtbm9vdXQgLW1vZHVsdXMgLWluIHNlcnZlci1jZXJ0LnBlbSB8IG9w
ZW5zc2wgbWQ1Cm9wZW5zc2wgIHJzYSAtbm9vdXQgLW1vZHVsdXMgLWluIHNlcnZlci1rZXkucGVt
IHwgb3BlbnNzbCBtZDUKZWNobyAiQ2VzIDIgY2hla3N1bXMgZG9pdmVudCDDqnRyZSBpZGVudGlx
dWVzICEiCgo
--MP_/Hgqghb8fpD0=hDZj_QJZ_zJ--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
maderios
Le #22154751
Le Sat, 22 May 2010 17:05:33 +0200,
"Jean-Yves F. Barbier"
Le Sat, 22 May 2010 15:45:56 +0200,
maderios

Comme l'a dit François, ça ne dispense pas de lire les docs; ma is
étant donné que ça fait partie des trucs triviaux mais m égachiants où
l'on passe trop de temps V. attachment.

...
> J'essaie laborieusement de générer un certificat SSL pour Pos tfix
> afin



Je préfère la ligne de commande. Nettement plus transparent .....
Comme je l'ai expliqué, le certificat est généré. Le se ul problème,
c'est qu'il m'est impossible de le signer:

Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
François Cerbelle
Le #22155391
--fUYQa+Pmc3FrFX/N
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Saturday 22 May 2010 à 21:03:08 (+0200), Jean-Yves F. Barbier a écri t :
[...]
après, contrairement à certaines docs, il faut copier le certif
dans /etc/ssl/certs, et la clé privée dans /etc/ssl/private.



Ne faut il pas plutot utiliser update-ca-certificates, placer les clés
dans /usr/shares/ca-certificates, modifier le fichier
/etc/ca-certificates.conf (dpkg-reconfigure ca-certificates) pour
(dés)activer les certificats et relancer update-ca-certificates pour
peupler automatiquement /etc/ssl/{certs, private} avec les bons droits
et surtout l'assurance que les fichiers ne soient pas supprimés.

Perso, en tout cas, je fais comme ca.

Fanfan

--
Lorsque l'enfant paraît, le cercle de famille applaudit à grands cris.
[ Victor Hugo ]

--fUYQa+Pmc3FrFX/N
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iD8DBQFL+DZZn0FdfiSfsswRAsZfAJ9cXYNDtgWrQKzBQP2xGWz3O6SYxgCfQvNc
w+ZcoUdDPgCpQb0CsKOSjUU =OKi+
-----END PGP SIGNATURE-----

--fUYQa+Pmc3FrFX/N--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
maderios
Le #22156991
Le problème n'est pas de générer un certificat mais de le si gner.
Pour résumer
J'ai généré et signé un certificat une première fo is, sauf
que Postfix a refusé de redémarrer en se plaignant d'un 'host
unknown'.
J'ai changé l'host puis généré un nouveau certificat ma is impossible à
signer:
> Sign the certificate? [y/n]:y
> failed to update database
> TXT_DB error number 2



D'après certaines doc, Il me faudrait révoquer le premier certifi cat.
Problème, j'ai supprimé le ./demoCA contenant le certificat
Mon point de départ
http://blog.admin-linux.org/messagerie/ajouter-le-smtp-de-gmail-en-smarthos t-avec-postfix-sous-ubuntu-server
http://wiki.linuxmce.org/index.php/Postfix_configured_with_Gmail_SMTP

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
maderios
Le #22157091
Sinistre oubli : J'avais commenté la ligne
'unique_subject' dans mon ./openssl.cnf
Merci pour vos réponses
M

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme