evolix
/
wiki
22
0
Fork 0
Code Releases Activity

Mettre à jour partie certificat multidomaine

This commit is contained in:
abenmiloud 2022-03-04 11:28:52 +01:00
parent 35b56a8404
commit 1e5f7a401b
1 changed files with 12 additions and 11 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

23
HowtoSSL.md
View File

@ -59,24 +59,25 @@ Note : sous Debian, pour regénérer le certificat *snakeoil* (certificat autog
### Générer un certificat multi-domaines avec subjectAltName
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents (mais cela coûte cher chez les autorités de certification).
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents,mais cela coûte cher chez les autorités de certification.
Modifier une copie du fichier `/etc/ssl/openssl.cnf` avant de générer le certificat pour :
* Décommenter *req_extensions = v3_req*
* Dans la *section v3_req* mettre *subjectAltName = DNS:test1.example.com,DNS:test2.example.com,DNS:example.com*
* Décommenter `req_extensions = v3_req`
* Dans la section `[v3_req]` renseigner les domaines: `subjectAltName = DNS:$domain1,DNS:$domain2[,...]`
Puis générer la clé privée et le certificat associé (avec expiration dans 1000 jours) :
Pour générer une demande de certificat pour la transmettre à une autorité de certification:
~~~
$ openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
~~~ { .bash }
cp -p /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.old
openssl req -newkey rsa:2048 -sha256 -nodes -config /etc/ssl/openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
~~~
Si l'on veut plutôt une demande de certificat (pour transmettre à une autorité de certification) :
~~~
$ openssl req -newkey rsa:2048 -nodes -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
~~~
> Pour générer un certificat multi-domaines auto-signé:
>
> ~~~ { .bash }
> openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
> ~~~
### "Déprotéger" une clé privée