Peut-on créer un certificat serveur illimité au lieu d'un mois?

manioul

14/12/2005 à 14:10

--=-SQ5Cmdqd04D+3Png87Pa
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le mercredi 14 décembre 2005 à 12:08 +0100, Wolfgod a écrit :

Bonjour la liste,

Coucou!

Peut-on créer un certificat serveur illimité au lieu d'un mois?

Avec l'option -days ? (je ne la vois pas dans le man...)

#openssl genrsa -days 365 -des3 1024 > x.key

-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

Merci

np

++ ;)

-^-
( ° ° )
/ V
// ` `
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
************************************************************************ *
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FE B)
************************************************************************ *

--
_o< *PAN!* ........ Shootez dadvsi, ici:
http://eucd.info/petitions/index.php?petition=2
http://boisson.homeip.net:8080/petition.php
>o_/ *PAN!* *PAN!* ........ Entrainez-vous au tir, ici:
http://www.culture-libre.info/ - irc: #

--=-SQ5Cmdqd04D+3Png87Pa
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDoBg2CXnTgfFbi60RAmuKAJ0Xi7OOJSiGEhaHZRSE5Dw+4q6d9ACcCMKw
+5Yh3rZSkDCR+Ml1cEn4TOk =1iuz
-----END PGP SIGNATURE-----

--=-SQ5Cmdqd04D+3Png87Pa--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Marc PERRUDIN

14/12/2005 à 14:10

Wolfgod a écrit :

Bonjour la liste,

Bonjour,

Peut-on créer un certificat serveur illimité au lieu d'un mois?

#openssl genrsa -des3 1024 > x.key
-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

De memoire, je crois que par defaut, un certificat genéré avec openssl
est valide 1 an. Ce comportement est modifiable avec le fichier
/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat
illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
utilise une autorité de certification, celle-ci doit etre valide plus
longtemps que ton certificat. Par contre, la commande que tu indique
genere une clé privée, celle-ci n'a pas de durée de vie, seul les
certificats ont une date de debut et de fin.

A+

Merci

-^-
( ° ° )
/ V
// ` `
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
*************************************************************************
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
*************************************************************************

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Wolfgod

14/12/2005 à 18:30

Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :

Wolfgod a écrit :
> Bonjour la liste,

Bonjour,

>Peut-on créer un certificat serveur illimité au lieu d'un mois?
>
>#openssl genrsa -des3 1024 > x.key
>-----------------------------------------------
>#Generating RSA private key, 1024 bit long modulus
>............++++++............++++++
>e is 65537 (0x10001)
>Enter pass phrase:passwd
>Verifying - Enter pass phrase:passwd
>#
>etc...

De memoire, je crois que par defaut, un certificat genéré avec openssl
est valide 1 an. Ce comportement est modifiable avec le fichier
/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certific at
illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
utilise une autorité de certification, celle-ci doit etre valide plus
longtemps que ton certificat. Par contre, la commande que tu indique
genere une clé privée, celle-ci n'a pas de durée de vie, seul les
certificats ont une date de debut et de fin.

Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bie n
précisé :

default_days = 365

mais curieusement après avoir créer le certificat sa validation est de 1
mois!!!

manioul dit:

#openssl genrsa -days 365 -des3 1024 > x.key

Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un
bug ?

-^-
( ° ° )
/ V
// ` `
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
*************************************************************************
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
*************************************************************************

Sébastien

14/12/2005 à 20:40

Bonjour,

Wolfgod a écrit :

Bonjour la liste,

Peut-on créer un certificat serveur illimité au lieu d'un mois?

#openssl genrsa -des3 1024 > x.key
-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

Merci

Juste pour info, un bon article pour être son propre CA :

http://www.debian-administration.org/articles/284

Je ne sais pas pour quelle application tu souhaites un certificat ssl,
mais j'ai mis ça en place pour mon imaps et https, et j'ai trouvé ça
très instructif (même si je suis loin d'avoir tout saisi).

--
Sébastien

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Marc PERRUDIN

15/12/2005 à 09:30

Wolfgod a écrit :

Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :

Wolfgod a écrit :

Bonjour la liste,

Bonjour,

Peut-on créer un certificat serveur illimité au lieu d'un mois?

#openssl genrsa -des3 1024 > x.key
-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

De memoire, je crois que par defaut, un certificat genéré avec openssl
est valide 1 an. Ce comportement est modifiable avec le fichier
/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat
illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
utilise une autorité de certification, celle-ci doit etre valide plus
longtemps que ton certificat. Par contre, la commande que tu indique
genere une clé privée, celle-ci n'a pas de durée de vie, seul les
certificats ont une date de debut et de fin.

Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
précisé :

default_days = 365

mais curieusement après avoir créer le certificat sa validation est de 1
mois!!!

manioul dit:

#openssl genrsa -days 365 -des3 1024 > x.key

Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un
bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

-^-
( ° ° )
/ V
// ` `
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
*************************************************************************
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
*************************************************************************

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Wolfgod a écrit :

Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :

Wolfgod a écrit :

Bonjour la liste,

Bonjour,

Peut-on créer un certificat serveur illimité au lieu d'un mois?

#openssl genrsa -des3 1024 > x.key
-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

De memoire, je crois que par defaut, un certificat genéré avec openssl
est valide 1 an. Ce comportement est modifiable avec le fichier
/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat
illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
utilise une autorité de certification, celle-ci doit etre valide plus
longtemps que ton certificat. Par contre, la commande que tu indique
genere une clé privée, celle-ci n'a pas de durée de vie, seul les
certificats ont une date de debut et de fin.

Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
précisé :

default_days = 365

mais curieusement après avoir créer le certificat sa validation est de 1
mois!!!

manioul dit:

#openssl genrsa -days 365 -des3 1024 > x.key

Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un
bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

-^-
( ° ° )
/ V
// ` ` \
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
*************************************************************************
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
*************************************************************************

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Wolfgod a écrit :

Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :

Wolfgod a écrit :

Bonjour la liste,

Bonjour,

Peut-on créer un certificat serveur illimité au lieu d'un mois?

#openssl genrsa -des3 1024 > x.key
-----------------------------------------------
#Generating RSA private key, 1024 bit long modulus
............++++++............++++++
e is 65537 (0x10001)
Enter pass phrase:passwd
Verifying - Enter pass phrase:passwd
#
etc...

De memoire, je crois que par defaut, un certificat genéré avec openssl
est valide 1 an. Ce comportement est modifiable avec le fichier
/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat
illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
utilise une autorité de certification, celle-ci doit etre valide plus
longtemps que ton certificat. Par contre, la commande que tu indique
genere une clé privée, celle-ci n'a pas de durée de vie, seul les
certificats ont une date de debut et de fin.

Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
précisé :

default_days = 365

mais curieusement après avoir créer le certificat sa validation est de 1
mois!!!

manioul dit:

#openssl genrsa -days 365 -des3 1024 > x.key

Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un
bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

-^-
( ° ° )
/ V
// ` `
/( ` )
^`~`^

Contre le projet DADVSI
http://boisson.homeip.net:8080/petition.php
*************************************************************************
Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB)
*************************************************************************

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Wolfgod

15/12/2005 à 14:20

Le Jeudi 15 Décembre 2005 09:11, Marc PERRUDIN a écrit :

Wolfgod a écrit :
>Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :
>>Wolfgod a écrit :
>>>Bonjour la liste,
>>
>>Bonjour,
>>
>>>Peut-on créer un certificat serveur illimité au lieu d'un mois?
>>>
>>>#openssl genrsa -des3 1024 > x.key
>>>-----------------------------------------------
>>>#Generating RSA private key, 1024 bit long modulus
>>>............++++++............++++++
>>>e is 65537 (0x10001)
>>>Enter pass phrase:passwd
>>>Verifying - Enter pass phrase:passwd
>>>#
>>>etc...
>>
>>De memoire, je crois que par defaut, un certificat genéré avec open ssl
>>est valide 1 an. Ce comportement est modifiable avec le fichier
>>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certif icat
>>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
>>utilise une autorité de certification, celle-ci doit etre valide plus
>>longtemps que ton certificat. Par contre, la commande que tu indique
>>genere une clé privée, celle-ci n'a pas de durée de vie, seul les
>>certificats ont une date de debut et de fin.
>
>Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
>précisé :
>
>default_days = 365
>
>mais curieusement après avoir créer le certificat sa validation est de 1
>mois!!!
>
>manioul dit:
>
>#openssl genrsa -days 365 -des3 1024 > x.key
>
>Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c' est
> un bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

Mile merci

J'ai généré mes clés serveur comme ceci et ça fonctionne aussi

(# openssl genrsa -out x.key 1024 --> sans passwd)
# openssl genrsa -des3 1024 > x.key --> avec passwd
----------------------------------------------
#

Générez votre clef publique
***************************
# openssl req -new -x509 -days 3650 -key x.key -out x.crt
#

@+

Le Jeudi 15 Décembre 2005 09:11, Marc PERRUDIN a écrit :

Wolfgod a écrit :
>Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :
>>Wolfgod a écrit :
>>>Bonjour la liste,
>>
>>Bonjour,
>>
>>>Peut-on créer un certificat serveur illimité au lieu d'un mois?
>>>
>>>#openssl genrsa -des3 1024 > x.key
>>>-----------------------------------------------
>>>#Generating RSA private key, 1024 bit long modulus
>>>............++++++............++++++
>>>e is 65537 (0x10001)
>>>Enter pass phrase:passwd
>>>Verifying - Enter pass phrase:passwd
>>>#
>>>etc...
>>
>>De memoire, je crois que par defaut, un certificat genéré avec open ssl
>>est valide 1 an. Ce comportement est modifiable avec le fichier
>>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certif icat
>>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
>>utilise une autorité de certification, celle-ci doit etre valide plus
>>longtemps que ton certificat. Par contre, la commande que tu indique
>>genere une clé privée, celle-ci n'a pas de durée de vie, seul les
>>certificats ont une date de debut et de fin.
>
>Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
>précisé :
>
>default_days = 365
>
>mais curieusement après avoir créer le certificat sa validation est de 1
>mois!!!
>
>manioul dit:
>
>#openssl genrsa -days 365 -des3 1024 > x.key
>
>Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c' est
> un bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

Mile merci

J'ai généré mes clés serveur comme ceci et ça fonctionne aussi

(# openssl genrsa -out x.key 1024 --> sans passwd)
# openssl genrsa -des3 1024 > x.key --> avec passwd
----------------------------------------------
#

Générez votre clef publique
***************************
# openssl req -new -x509 -days 3650 -key x.key -out x.crt
#

@+

Vous avez filtré cet utilisateur ! Consultez son message

Le Jeudi 15 Décembre 2005 09:11, Marc PERRUDIN a écrit :

Wolfgod a écrit :
>Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit :
>>Wolfgod a écrit :
>>>Bonjour la liste,
>>
>>Bonjour,
>>
>>>Peut-on créer un certificat serveur illimité au lieu d'un mois?
>>>
>>>#openssl genrsa -des3 1024 > x.key
>>>-----------------------------------------------
>>>#Generating RSA private key, 1024 bit long modulus
>>>............++++++............++++++
>>>e is 65537 (0x10001)
>>>Enter pass phrase:passwd
>>>Verifying - Enter pass phrase:passwd
>>>#
>>>etc...
>>
>>De memoire, je crois que par defaut, un certificat genéré avec open ssl
>>est valide 1 an. Ce comportement est modifiable avec le fichier
>>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certif icat
>>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu
>>utilise une autorité de certification, celle-ci doit etre valide plus
>>longtemps que ton certificat. Par contre, la commande que tu indique
>>genere une clé privée, celle-ci n'a pas de durée de vie, seul les
>>certificats ont une date de debut et de fin.
>
>Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien
>précisé :
>
>default_days = 365
>
>mais curieusement après avoir créer le certificat sa validation est de 1
>mois!!!
>
>manioul dit:
>
>#openssl genrsa -days 365 -des3 1024 > x.key
>
>Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c' est
> un bug ?

En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout
de meme definir la durée de validité lorsque tu fait le certificat. Tu
peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de
la fabrication du certificat, c-a-d après le genrsa qui ne fait que la
clé privée:

openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé,
l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton
serveur demarre tout seul)

openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un
certificat autosigné, tu peux utiliser l'option '-days' pour definir la
durée que tu veux)

A+

Mile merci

J'ai généré mes clés serveur comme ceci et ça fonctionne aussi

(# openssl genrsa -out x.key 1024 --> sans passwd)
# openssl genrsa -des3 1024 > x.key --> avec passwd
----------------------------------------------
#

Générez votre clef publique
***************************
# openssl req -new -x509 -days 3650 -key x.key -out x.crt
#

@+

Peut-on créer un certificat serveur illimité au lieu d'un mois?

6 réponses

Veuillez sélectionner un problème