Mettre à jour partie certificat multidomaine
This commit is contained in:
parent
35b56a8404
commit
1e5f7a401b
23
HowtoSSL.md
23
HowtoSSL.md
|
@ -59,24 +59,25 @@ Note : sous Debian, pour regénérer le certificat *snakeoil* (certificat autog
|
||||||
|
|
||||||
### Générer un certificat multi-domaines avec subjectAltName
|
### Générer un certificat multi-domaines avec subjectAltName
|
||||||
|
|
||||||
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents (mais cela coûte cher chez les autorités de certification).
|
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents,mais cela coûte cher chez les autorités de certification.
|
||||||
|
|
||||||
Modifier une copie du fichier `/etc/ssl/openssl.cnf` avant de générer le certificat pour :
|
Modifier une copie du fichier `/etc/ssl/openssl.cnf` avant de générer le certificat pour :
|
||||||
|
|
||||||
* Décommenter *req_extensions = v3_req*
|
* Décommenter `req_extensions = v3_req`
|
||||||
* Dans la *section v3_req* mettre *subjectAltName = DNS:test1.example.com,DNS:test2.example.com,DNS:example.com*
|
* Dans la section `[v3_req]` renseigner les domaines : `subjectAltName = DNS:$domain1,DNS:$domain2[,...]`
|
||||||
|
|
||||||
Puis générer la clé privée et le certificat associé (avec expiration dans 1000 jours) :
|
Pour générer une demande de certificat pour la transmettre à une autorité de certification :
|
||||||
|
|
||||||
~~~
|
~~~ { .bash }
|
||||||
$ openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
|
cp -p /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.old
|
||||||
|
openssl req -newkey rsa:2048 -sha256 -nodes -config /etc/ssl/openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Si l'on veut plutôt une demande de certificat (pour transmettre à une autorité de certification) :
|
> Pour générer un certificat multi-domaines auto-signé :
|
||||||
|
>
|
||||||
~~~
|
> ~~~ { .bash }
|
||||||
$ openssl req -newkey rsa:2048 -nodes -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
|
> openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
|
||||||
~~~
|
> ~~~
|
||||||
|
|
||||||
### "Déprotéger" une clé privée
|
### "Déprotéger" une clé privée
|
||||||
|
|
||||||
|
|
Loading…
Reference in a new issue