il faut que je cr=E9e un certificat sur un serveur h=E9berg=E9 chez =
Gandi :
https://wiki.gandi.net/fr/ssl/csr
La commande que je dois ex=E9cuter est indiqu=E9e dans la page HTML :
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out =
serveur.csr
Ma question est quand j'ex=E9cute cette commande, est-ce que le fichier =
du certificat va se
placer dans /etc/ssl/certs o=F9 que je l'ex=E9cute, et la cl=E9 dans =
/etc/ssl/private ?
=C7a ne m'arrangerait pas, dans la mesure o=F9 il existe d=E9j=E0 un =
autre certificat en cours que
je ne souhaiterais pas =E9craser.
Mon id=E9e =E9tait de cr=E9er un dossier ssl2 et de commencer la =
proc=E9dure dedans afin de ne
pas subir de rupture de service=85
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se placer dans /etc/ssl/certs où que je l'exécute, et la clé dans /etc/ssl/private ?
Les deux fichiers mentionnés dans la commande se retrouveront dans le répertoire en cours. Il n'y a pas encore de certificat à cette étape (c'est Gandi qui le fournira après leur avoir donné le CSR). --
c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer avec ceux qui se trouvent dans /etc/ssl. Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ? D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour préserver une continuité du service inverser toutes les redirections du port 443 vers le port 80 ? Je sors un peu du sujet, là Désolé. D'avance, je vous remercie. Ph. Gras=
Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se
placer dans /etc/ssl/certs où que je l'exécute, et la clé dans
/etc/ssl/private ?
Les deux fichiers mentionnés dans la commande se retrouveront dans le
répertoire en cours. Il n'y a pas encore de certificat à cette étape
(c'est Gandi qui le fournira après leur avoir donné le CSR).
--
c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer
avec ceux qui se trouvent dans /etc/ssl.
Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour
préserver une continuité du service inverser toutes les redirections du port 443
vers le port 80 ?
openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se placer dans /etc/ssl/certs où que je l'exécute, et la clé dans /etc/ssl/private ?
Les deux fichiers mentionnés dans la commande se retrouveront dans le répertoire en cours. Il n'y a pas encore de certificat à cette étape (c'est Gandi qui le fournira après leur avoir donné le CSR). --
c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer avec ceux qui se trouvent dans /etc/ssl. Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ? D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour préserver une continuité du service inverser toutes les redirections du port 443 vers le port 80 ? Je sors un peu du sujet, là Désolé. D'avance, je vous remercie. Ph. Gras=
Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon
J'ignorais cela, mais à la réflexion ça paraît très logique. Je vais me coucher rasséréné ce soir :-)
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ? Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un mail te disant comment le récupérer).
C'est effectivement ce qui s'est produit, Ô magie de l'Internet ! Avec un petit wget qui va bien
PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour PG> préserver une continuité du service inverser toutes les redirections du port 443 PG> vers le port 80 ? Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche (sinon tu remet l'ancien et nouveau reload).
Un truc du style mv example.com.crt old-example.com.crt ?
Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la changer (soit remplacer le fichier soit changer le chemin dans la conf apache).
Oui, ça va sans dire La prochaine fois je le ferai avec la même ! Bonne journée, Ph. Gras=
Merci Daniel :-)
Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en
arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon
J'ignorais cela, mais à la réflexion ça paraît très logique. Je vais me coucher rasséréné ce soir :-)
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ?
Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de
certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un
mail te disant comment le récupérer).
C'est effectivement ce qui s'est produit, Ô magie de l'Internet ! Avec un petit wget qui va bien
PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour
PG> préserver une continuité du service inverser toutes les redirections du port 443
PG> vers le port 80 ?
Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que
tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche
(sinon tu remet l'ancien et nouveau reload).
Un truc du style mv example.com.crt old-example.com.crt ?
Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la
changer (soit remplacer le fichier soit changer le chemin dans la conf apache).
Oui, ça va sans dire La prochaine fois je le ferai avec la même !
Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon
J'ignorais cela, mais à la réflexion ça paraît très logique. Je vais me coucher rasséréné ce soir :-)
PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ? Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un mail te disant comment le récupérer).
C'est effectivement ce qui s'est produit, Ô magie de l'Internet ! Avec un petit wget qui va bien
PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour PG> préserver une continuité du service inverser toutes les redirections du port 443 PG> vers le port 80 ? Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche (sinon tu remet l'ancien et nouveau reload).
Un truc du style mv example.com.crt old-example.com.crt ?
Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la changer (soit remplacer le fichier soit changer le chemin dans la conf apache).
Oui, ça va sans dire La prochaine fois je le ferai avec la même ! Bonne journée, Ph. Gras=
# et chercher ce qui coince
# ça peut être juste la chaine de certificats à ajouter dans la conf apache
# (cf la doc de gandi qui doit expliquer comment mettre les siens)
Sinon, y'a plein de tutos pour installer letsencrypt, qui se charge tout se ul de renouveler
le certif ;-)