Wolfgod a écrit : >Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit : > > >>Wolfgod a écrit : >> >> >>>Bonjour la liste, >>> >>> >>Bonjour, >> >> >> >>>Peut-on créer un certificat serveur illimité au lieu d'un mois? >>> >>>#openssl genrsa -des3 1024 > x.key >>>----------------------------------------------- >>>#Generating RSA private key, 1024 bit long modulus >>>............++++++............++++++ >>>e is 65537 (0x10001) >>>Enter pass phrase:passwd >>>Verifying - Enter pass phrase:passwd >>># >>>etc... >>> >>> >>De memoire, je crois que par defaut, un certificat genéré avec openssl >>est valide 1 an. Ce comportement est modifiable avec le fichier >>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat >>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu >>utilise une autorité de certification, celle-ci doit etre valide plus >>longtemps que ton certificat. Par contre, la commande que tu indique >>genere une clé privée, celle-ci n'a pas de durée de vie, seul les >>certificats ont une date de debut et de fin. >> >> >Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien >précisé : > >default_days = 365 > >mais curieusement après avoir créer le certificat sa validation est de 1 >mois!!! > >manioul dit: > >#openssl genrsa -days 365 -des3 1024 > x.key > >Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est un >bug ? > > En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout de meme definir la durée de validité lorsque tu fait le certificat. Tu peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de la fabrication du certificat, c-a-d après le genrsa qui ne fait que la clé privée:
openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé, l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton serveur demarre tout seul) openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un certificat autosigné, tu peux utiliser l'option '-days' pour definir la durée que tu veux) A+ > > -^- > ( ° ° ) > / V \ > // ` ` \\ > /( ` )\ > ^`~`^ > > Contre le projet DADVSI > http://boisson.homeip.net:8080/petition.php > ************************************************************************* > Ma clé publique est disponible sur http://www.keyserver.net (0x27253FEB) > ************************************************************************* > > > -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]