Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

expiration du certificat de securité

philou

bonjour!
comment fait-on pour renouveler un certificat auto-signé qui vient d'expirer?
je m'explique : j'ai un site perso pour les amis, hébergé à la maison, et comme il y a des informations persos, j'ai protégé la racine du site par un htaccess crypté par ssl.
Afin de ne pas avoir à payer un organisme pour que mon certificat soit reconnu par une institution (je m'en moque, moi ce que je veux, c'est cryper le htaccess), je l'ai auto-signé.
Hors, depuis quelques semaines, une boite de dilogue s'ouvre me disant qu'il a expiré.
j'en ai crée un autre, et effacé le précedent, mais la boite de dialogue est toujours présente.
celà n'empêche pas le mot de passe d'être crypté, mais cet avertissement est un peu gonflant.
comment c'est-t-y que je dois faire?

celmir

Comment as-tu généré ton certificat ?

deux liens sur les certificats :
http://www.openssl.org/
http://www.openca.org/

philou

je l'ai généré comme celà:

#openssl genrsa -out mon_nom_d_hote.key 1024

puis;

#openssl req -new -key mon_nom_d_hote.key -out mon_nom_d_hote.csr

mon "certificate signing request" ou csr, je ne l'ai pas fait parvenir à une autorité, mais je l'ai signée moi même:

#openssl x509 -req -days 365 -in mon_nom_d_hote.csr -signkey mon_nom_d_hote.key -out mon_nom_d_hote.crt

ces fichiers : ".key" ; ".csr" et ".crt", je les ai mis dans le répertoire où se trouvaient les anciens certificats.

j'ai aussi essayé de les mettre dans un autre nouveau répertoire et de changer la conf d'apache :
SSLCertificateFile /www/conf/fichier.crt
SSLCertificatFile /WWW/conf/fichier.key

mais le pop up pénible est toujours là. Ce n'est pô grave en soi mais j'aimerais juste comprendre pourqoui.

celmir

question idiote mais qui m'éviterait de me creuser la tête 🙂
as-tu redémarré ton service apache ?

philou

oui oui.
(je precise que je suis sous red hat et non sous fedora)
j'ai tiré ces manips des deux livres d'o'reiley : "apache" et "apache en action"

william

C'est bien le certificat de ton serveur qui a expiré ? ça ne serait pas le certificat de ton autorité de certification ?
Tes machines sont bien à l'heure ?

philou

eh bien j'ai refait les 3 manips décrites plus haut pour recréer un certificat et le resigner.
mes machines sont à l'heure.

celmir

Pour la seconde directive apache j'aurais mis 'SSLCertificateKeyFile' et tu peux aussi utiliser la directive 'SSLCACertificateFile' pour le répertoire contenant le certificat CA.

Enfin pour le certificat CA, j'utilise '-extensions ca' ou l'équivalent dans le fichier openssl.cnf

philou

euh oui autant pour moi c'est bien SSLCertificateKeyFile, j'ai omis le 'key' en recopiant.
j'ai également rajouté le CA, mais rien de neuf.
bon, c'est pas grave, je chercherai à l'occas.
merci.

celmir

Pense à mettre 'résolu', si c'est le cas .

philou

je n'y manquerai pas (si je trouve la solution).

celmir

as-tu recréé aussi les certificats utilisateurs ?

philou

non, comment fait-on celà?

celmir

Bon je pense que pour t'aider il faut que tu nous donnes la méthode que tu as suivi.
En pièce jointe, un article du défunt redhat magazine (numéro 2) traitant du sujet.

philou

eh bien je n'ai rien fait de plus que ce que j'ai écrit en deuxieme message.
merci pour le zip, je le lirai un autre jour.

celmir

peux-tu regarder le contenu de ton certificat et nous le retourner ?
openssl x509 -in mon_nom_d_hote.crt -text -noout

philou

bien volontiers : le voici :

Certificate:
Data:
Version: 1 (0x0)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=fr, ST=Marle, L=Marle, O=esperluette, OU=esperluette, CN=Milhouse
Validity
Not Before: Sep 30 15:53:55 2005 GMT
Not After : Sep 30 15:53:55 2006 GMT
Subject: C=fr, ST=Marle, L=Marle, O=esperluette, OU=esperluette, CN=Milhouse
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:bb:8e:19:ec:4c:16:92:ab:a4:a9:35:f5:e6:80:
74:9e:e0:18:64:4d:81:e4:33:73:58:2e:3d:be:2c:
4e:ea:b7:98:a1:db:8f:2b:a9:a1:0e:48:d6:62:31:
a6:81:a9:f7:fe:9a:dc:7e:98:1b:30:dc:1a:52:74:
2f:af:b0:85:31:c1:6e:64:e3:29:92:a0:6e:de:97:
df:62:f1:08:65:af:25:52:70:73:a6:2e:10:f7:91:
7a:02:fa:2e:d4:d0:dc:f5:06:03:42:66:45:63:d8:
0a:0b:11:5a:02:4d:cc:b8:ce:b2:75:2e:09:8e:b4:
ad:fb:be:8f:a7:48:a3:04:13
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
79:7d:63:72:2b:ca:c8:94:38:8e:f5:cf:f6:88:9a:a2:64:d4:
b7:fe:69:5a:f6:df:74:c1:87:e2:0d:4a:97:ca:2d:32:89:56:
5a:af:84:57:9e:f7:66:15:55:5c:f9:25:ca:3f:97:05:2b:63:
1c:78:f5:4e:b9:2f:bf:64:48:b5:54:dd:2f:59:0e:85:27:c4:
3f:b8:fb:77:ab:69:71:09:36:9c:38:9c:ab:f9:a4:ec:e6:0e:
46:4d:cc:7f:41:76:43:9f:88:a0:51:10:24:2b:dd:8a:54:fd:
a0:90:1e:d2:9a:d0:9e:be:9f:e9:b5:61:40:78:09:a1:ef:e0:
b6:94

celmir

sur un certificat CA tu as

X509v3 Basic Constraints:
CA:TRUE

sur le tien, je ne vois rien...

regénère tes certificats et vérifie que tu as bien des certificats différents.
Donne aussi le message exact que tu obtiens.

philou

voici les messages de sortie lorsque je tape les commandes suivantes :

pour la commande
************************************************************0

#openssl genrsa -out ./hôte.key 1024

la sortie est :

Generating RSA private key, 1024 bit long modulus
.....................................++++++
................++++++
e is 65537 (0x10001)
*************************************************************0

pour la commande
*******************************************************

#openssl req -new -key esperluette.key -out ./esperluette.csr

la sortie est :

la liste de questions auxquelles il faut répondre
******************************************************

pour la commande
*****************************************************
#openssl x509 -req -days 365 -in mon_nom_d_hote.csr -signkey mon_nom_d_hote.key -out mon_nom_d_hote.crt

la sortie est

Signature ok
subject=/C=FR/L=MARLE/O=pipo inc/OU=section certificat/CN=MILHOUSE/emailAddress=monemail@monfai.fr
Getting Private key
*****************************************************

et voici le contenu de mon nouveau certificat:
******************************************************
Certificate:
Data:
Version: 1 (0x0)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=FR, L=MARLE, O=pipo inc, OU=section certificat, CN=MILHOUSE/emailAddress=monmail@monfai.fr
Validity
Not Before: Nov 2 05:39:43 2005 GMT
Not After : Nov 2 05:39:43 2006 GMT
Subject: C=FR, L=MARLE, O=pipo inc, OU=section certificat, CN=MILHOUSE/emailAddress=monmail@monfai.fr
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a9:97:ea:3e:49:90:25:58:e6:93:2c:f7:30:8c:
96:5c:da:a4:b4:51:2b:0c:35:99:4e:82:14:6b:60:
4b:e1:0f:46:1d:06:17:1d:92:47:42:a3:50:92:da:
ed:91:46:94:fa:aa:82:73:38:3b:d8:09:9a:26:26:
59:ba:3b:71:53:c6:f4:a8:58:a9:71:b3:97:30:55:
58:fb:dd:d0:e4:61:c2:98:01:0e:ef:98:d4:8f:1f:
d6:fd:c7:6b:3b:c8:07:e1:d3:16:72:33:2c:d3:08:
c3:13:ac:58:66:31:b1:fd:d1:d6:c6:e1:d4:9c:e1:
47:97:df:e5:a0:74:2f:e9:1b
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
13:68:c9:e8:45:9a:bf:2d:5e:ba:94:fb:a7:b6:86:57:89:17:
18:02:bd:d3:1d:36:82:4c:ec:00:9f:5e:8c:e2:14:ac:bb:16:
40:9b:4b:0e:e8:92:9b:0b:7c:6c:e6:0b:17:f0:42:5f:49:9a:
9a:38:cc:50:1d:32:25:d1:5f:04:4f:fc:12:db:6c:44:10:2d:
a3:c9:b1:d4:93:60:85:37:39:aa:9e:88:fa:13:27:c3:59:3d:
d7:c9:f0:f7:6b:ac:cc:e7:1f:10:7d:b8:1f:03:54:b1:1c:81:
7f:4d:0a:ad:2f:88:a2:61:11:d8:46:28:0d:c6:74:f7:76:01:
90:81
********************************************************

je constate qu'il n'y a pas de X509v3 Basic Constraints:
CA:TRUE.
et mon navigateur me dit toujours que le certificat a expiré, se référant au tout premier certificat que j'avais fait.
je poursuis les recherches. (si dans deux jours je n'ai pas donné signe de vie, appelle l'hélico!!)

celmir

euh c'est idiot mais va dans le gestionnaire de certificat de ton navigateur (qu'utilises-tu ?) et regarde si le certificat initial ne serait pas chargé, dans ce cas supprime le ...
tu peux aussi essayer de faire l'essai depuis un autre poste client ?

Page suivante »