Le Jeudi 15 Décembre 2005 09:11, Marc PERRUDIN a écrit : > Wolfgod a écrit : > >Le Mercredi 14 Décembre 2005 13:43, Marc PERRUDIN a écrit : > >>Wolfgod a écrit : > >>>Bonjour la liste, > >> > >>Bonjour, > >> > >>>Peut-on créer un certificat serveur illimité au lieu d'un mois? > >>> > >>>#openssl genrsa -des3 1024 > x.key > >>>----------------------------------------------- > >>>#Generating RSA private key, 1024 bit long modulus > >>>............++++++............++++++ > >>>e is 65537 (0x10001) > >>>Enter pass phrase:passwd > >>>Verifying - Enter pass phrase:passwd > >>># > >>>etc... > >> > >>De memoire, je crois que par defaut, un certificat genéré avec openssl > >>est valide 1 an. Ce comportement est modifiable avec le fichier > >>/etc/ssl/openssl.cnf, tu ne pourras peut-etre pas générer un certificat > >>illimité mais tu peux mettre 100 ans comme durée de validité ! Si tu > >>utilise une autorité de certification, celle-ci doit etre valide plus > >>longtemps que ton certificat. Par contre, la commande que tu indique > >>genere une clé privée, celle-ci n'a pas de durée de vie, seul les > >>certificats ont une date de debut et de fin. > > > >Merci pour ta réponse, effectivement dans /etc/ssl/openssl.cnf il est bien > >précisé : > > > >default_days = 365 > > > >mais curieusement après avoir créer le certificat sa validation est de 1 > >mois!!! > > > >manioul dit: > > > >#openssl genrsa -days 365 -des3 1024 > x.key > > > >Mais alors pourquoi "default_days = 365" dans /etc/ssl/openssl.cnf, c'est > > un bug ? > > En effet, le fichier semble ne pas servir par defaut (?). Tu peux tout > de meme definir la durée de validité lorsque tu fait le certificat. Tu > peux (doit?) donc utiliser l'option '-days'. Celle ci s'utilise lors de > la fabrication du certificat, c-a-d après le genrsa qui ne fait que la > clé privée: > > openssl genrsa [-des3] 1024 > x.key (fabrique la clé privé, > l'encryptage n'est pas obligatoire voir bloquant si tu veux que ton > serveur demarre tout seul) > > openssl req -new -x509 -key x.key -out cert.pem -days 1095 (pour un > certificat autosigné, tu peux utiliser l'option '-days' pour definir la > durée que tu veux) > > A+
Mile merci J'ai généré mes clés serveur comme ceci et ça fonctionne aussi (# openssl genrsa -out x.key 1024 --> sans passwd) # openssl genrsa -des3 1024 > x.key --> avec passwd ---------------------------------------------- # Générez votre clef publique *************************** # openssl req -new -x509 -days 3650 -key x.key -out x.crt # @+
