Le 3 décembre 2008 15:52, Johan Dindaine <[EMAIL PROTECTED]> a écrit : > Bonjour, > J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques > disponibles en HTTPS. > > J'ai donc créé un certificat privé pr le serveur > openssl genrsa -out cleeprivee.key 1024 > > et créer deux clées pour mes sites > openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt > openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
Oula ... Reprenons les bases de l'architecture des certificats x509 avec clé asymétrique : 1 / Un duo de clé est unique et asymétrique : une clé privé correspond à une seule clé publique. Elle sont associée l'une à l'autre. Le certificat x509 est considéré comme la clé publique. 2 / Des clés asymétriques sont générées en même temps ! 3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à être absolument signé par une autorité de certification. 4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé. 5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé publique. La clé privée ...est privée. Ici je plusieurs problèmes : 1 / Il te manque une autorité de certification 2 / Tu fais des "req" soit des requete et non des sign donc tes req sont non signés et ce ne sont donc pas des certificats x509 utilisables 3 / Tu tentes d'associer toi même tes requêtes à une clé privé. Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des clés asymétriques sont générés en même temps. 4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci. Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser des vrais certificats il te faudra manger le man de openssl qui est une vraie encyclopédie ou alors utiliser des outils de pki (public key infrastructure) : - OpenCA : complexe et pas forcement utile si tu veux juste deux certificats. - Easy-rsa : simple et rapide à utiliser pour générer des certificats propres. Cet outil est installé par défaut avec openvpn et se trouve dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une collection de scripts qui lance des commandes openssl. Tu peux facilement t'en inspirer ;) -- Vous aimez la bretagne ? Breizh da viken : www.pointbzh.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
