Mettre à jour partie certificat multidomaine
This commit is contained in:
parent
35b56a8404
commit
1e5f7a401b
23
HowtoSSL.md
23
HowtoSSL.md
|
@ -59,24 +59,25 @@ Note : sous Debian, pour regénérer le certificat *snakeoil* (certificat autog
|
|||
|
||||
### Générer un certificat multi-domaines avec subjectAltName
|
||||
|
||||
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents (mais cela coûte cher chez les autorités de certification).
|
||||
Un certificat avec **subjectAltName** permet d'ajouter des noms de domaine secondaires (*subjectAltName*) en plus du nom de domaine principal (*Common Name*), ce qui est supporté par 99.9% des navigateurs récents,mais cela coûte cher chez les autorités de certification.
|
||||
|
||||
Modifier une copie du fichier `/etc/ssl/openssl.cnf` avant de générer le certificat pour :
|
||||
|
||||
* Décommenter *req_extensions = v3_req*
|
||||
* Dans la *section v3_req* mettre *subjectAltName = DNS:test1.example.com,DNS:test2.example.com,DNS:example.com*
|
||||
* Décommenter `req_extensions = v3_req`
|
||||
* Dans la section `[v3_req]` renseigner les domaines : `subjectAltName = DNS:$domain1,DNS:$domain2[,...]`
|
||||
|
||||
Puis générer la clé privée et le certificat associé (avec expiration dans 1000 jours) :
|
||||
Pour générer une demande de certificat pour la transmettre à une autorité de certification :
|
||||
|
||||
~~~
|
||||
$ openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
|
||||
~~~ { .bash }
|
||||
cp -p /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.old
|
||||
openssl req -newkey rsa:2048 -sha256 -nodes -config /etc/ssl/openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
|
||||
~~~
|
||||
|
||||
Si l'on veut plutôt une demande de certificat (pour transmettre à une autorité de certification) :
|
||||
|
||||
~~~
|
||||
$ openssl req -newkey rsa:2048 -nodes -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out demande.csr
|
||||
~~~
|
||||
> Pour générer un certificat multi-domaines auto-signé :
|
||||
>
|
||||
> ~~~ { .bash }
|
||||
> openssl req -newkey rsa:2048 -nodes -x509 -sha256 -days 1000 -config openssl.cnf -extensions v3_req -keyout private.key -out certificat.crt
|
||||
> ~~~
|
||||
|
||||
### "Déprotéger" une clé privée
|
||||
|
||||
|
|
Loading…
Reference in a new issue