Certificats SSL

5 réponses
Avatar
Ph. Gras
Bonsoir,

il faut que je cr=E9e un certificat sur un serveur h=E9berg=E9 chez =
Gandi :
https://wiki.gandi.net/fr/ssl/csr

La commande que je dois ex=E9cuter est indiqu=E9e dans la page HTML :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out =
serveur.csr

Ma question est quand j'ex=E9cute cette commande, est-ce que le fichier =
du certificat va se
placer dans /etc/ssl/certs o=F9 que je l'ex=E9cute, et la cl=E9 dans =
/etc/ssl/private ?

=C7a ne m'arrangerait pas, dans la mesure o=F9 il existe d=E9j=E0 un =
autre certificat en cours que
je ne souhaiterais pas =E9craser.

Mon id=E9e =E9tait de cr=E9er un dossier ssl2 et de commencer la =
proc=E9dure dedans afin de ne
pas subir de rupture de service=85

Qu'en pensez-vous ?

Ph. Gras=

5 réponses

Avatar
Vincent Bernat
--=-=- Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
❦ 21 juillet 2016 19:40 CEST, "Ph. Gras"  :
il faut que je crée un certificat sur un serveur hébergé c hez Gandi :
https://wiki.gandi.net/fr/ssl/csr
La commande que je dois exécuter est indiquée dans la page HTML :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr
Ma question est quand j'exécute cette commande, est-ce que le fichie r du certificat va se
placer dans /etc/ssl/certs où que je l'exécute, et la clé dans
/etc/ssl/private ?

Les deux fichiers mentionnés dans la commande se retrouveront dans le
répertoire en cours. Il n'y a pas encore de certificat à cette étape
(c'est Gandi qui le fournira après leur avoir donné le CSR).
--
Clothes make the man. Naked people have little or no influence on society.
-- Mark Twain
--=-=- Content-Type: application/pgp-signature; name="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1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=/X83
-----END PGP SIGNATURE-----
--=-=-=--
Avatar
Ph. Gras
Merci Vincent :-)
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr
Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se
placer dans /etc/ssl/certs où que je l'exécute, et la clé dans
/etc/ssl/private ?

Les deux fichiers mentionnés dans la commande se retrouveront dans le
répertoire en cours. Il n'y a pas encore de certificat à cette étape
(c'est Gandi qui le fournira après leur avoir donné le CSR).
--

c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer
avec ceux qui se trouvent dans /etc/ssl.
Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour
préserver une continuité du service inverser toutes les redirections du port 443
vers le port 80 ?
Je sors un peu du sujet, là… Désolé.
D'avance, je vous remercie.
Ph. Gras=
Avatar
Daniel Caillibaud
Le 22/07/16 à 10:48, "Ph. Gras" a écrit :
PG> Merci Vincent :-)
PG>
PG> >> openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key - out serveur.csr
PG> >>
PG> >> Ma question est quand j'exécute cette commande, est-ce que le f ichier du certificat va se
PG> >> placer dans /etc/ssl/certs où que je l'exécute, et la cl é dans
PG> >> /etc/ssl/private ?
PG> >
PG> > Les deux fichiers mentionnés dans la commande se retrouveront da ns le
PG> > répertoire en cours. Il n'y a pas encore de certificat à ce tte étape
PG> > (c'est Gandi qui le fournira après leur avoir donné le CSR).
PG> > --
PG>
PG> c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer
PG> avec ceux qui se trouvent dans /etc/ssl.
Heureusement, openssl fonctionne comme toutes les autres commandes, les fic hiers donnés en
arguments sont en absolus s'il commencent par / et en relatif au dossier co urant sinon
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de
certification (ici gandi) et il te renvoient un cert (soit via leur interfa ce, soit avec un
mail te disant comment le récupérer).
PG> D'un point de vue pratique et durant cette opération, ne vaut-il p as mieux pour
PG> préserver une continuité du service inverser toutes les redir ections du port 443
PG> vers le port 80 ?
Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que
tu as sauvegardé à coté) et reload apache, puis tu véri fie dans ton navigateur que ça marche
(sinon tu remet l'ancien et nouveau reload).
Attention, si le nouveau n'a pas été généré avec l a même clé privé du serveur, faut aussi la
changer (soit remplacer le fichier soit changer le chemin dans la conf apac he).
--
Daniel
Reporter : What's your longevity secret ?
Winston Churchill : Whisky, cigars and no sports.
(il aurait en fait répondu "low sport", mais la légende est plus drôle)
Avatar
Ph. Gras
Merci Daniel :-)
Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en
arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon

J'ignorais cela, mais à la réflexion ça paraît très logique. Je vais me coucher rasséréné ce soir :-)
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de
certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un
mail te disant comment le récupérer).

C'est effectivement ce qui s'est produit, Ô magie de l'Internet ! Avec un petit wget qui va bien…
PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour
PG> préserver une continuité du service inverser toutes les redirections du port 443
PG> vers le port 80 ?
Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que
tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche
(sinon tu remet l'ancien et nouveau reload).

Un truc du style mv example.com.crt old-example.com.crt ?
Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la
changer (soit remplacer le fichier soit changer le chemin dans la conf apache).

Oui, ça va sans dire… La prochaine fois je le ferai avec la même !
Bonne journée,
Ph. Gras=
Avatar
Daniel Caillibaud
Le 22/07/16 à 16:22, "Ph. Gras" a écrit :
PG> > Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à   la place de l'ancien
PG> > (que tu as sauvegardé à coté) et reload apache, puis t u vérifie dans ton navigateur que
PG> > ça marche (sinon tu remet l'ancien et nouveau reload).
PG>
PG> Un truc du style mv example.com.crt old-example.com.crt ?
Oui,
cd leBonDossier
mv example.com.crt example.com.crt.old
cp /path/to/new.example.com.crt example.com.crt
service apache2 reload
# tester avec un navigateur et en donnant une url https à manger à   un vérificateur
# parmi https://www.qwant.com/?q=check+ssl+certificate
# et si c'est pas bon, remettre l'ancienne conf
mv example.com.crt.old example.com.crt
service apache2 reload
# et chercher ce qui coince
# ça peut être juste la chaine de certificats à ajouter dans la conf apache
# (cf la doc de gandi qui doit expliquer comment mettre les siens)
Sinon, y'a plein de tutos pour installer letsencrypt, qui se charge tout se ul de renouveler
le certif ;-)
--
Daniel
Les arbres sont responsables de plus de pollution aérienne que les usi nes.
Ronald Reagan