http://blog.anotherhomepage.org/ Born to be root ! fr Sat, 25 Oct 2008 10:14:41 +0200 Copyright 2005-2008 Nils Ratusznik http://blogs.law.harvard.edu/tech/rss Dotclear http://blog.anotherhomepage.org/post/2008/07/19/SSL-a-l-arrache urn:md5:dd836de2b63bc1a3fc8da15408fdffe0 Sat, 19 Jul 2008 15:42:00 +0200 Nils Linux et Logiciels libres SSL <p>Vite fait, mal fait.</p> <p>Que ceux qui veulent comprendre aillent sur des pages plus complètes, ici je fais juste une petite récap. Alors genre, on a un serveur sur laquelle on veut mettre du HTTPS ou du FTP-SSL. Pas envie d'avoir un "dummy certificate" et pas envie de passer 2 heures sur le sujet. Donc on copie-colle, on répond Yes à tout et c'est torché.</p> <p>D'abord, openssl.cnf. Il se trouve, selon les distributions, quelque part sous <em>/etc</em>. Sur ma CentOS 5, il est dans "/etc/pki/tls". On fait un petit vi dessus, et on met&nbsp;:</p> <pre> dir = /etc/pki/CA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. new_certs_dir = $dir/newcerts # default place for new certs. </pre> <p>Un peu plus bas, on modifie la durée de vie du certificat&nbsp;:</p> <pre> default_days = 3650 # how long to certify for </pre> <p>Et pour être encore plus feignasse&nbsp;:</p> <pre> [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = FR countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Ile de France localityName = Locality Name (eg, city) localityName_default = Paris 0.organizationName = Organization Name (eg, company) 0.organizationName_default = Another Home Page organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = admin commonName = Common Name (eg, your name or your server\'s hostname) commonName_max = 64 emailAddress = Email Address emailAddress_max = 64 </pre> <p>OpenSSL peut faire des alias DNS pour un même certificat, alors on ajoute ça à la fin&nbsp;:</p> <pre> [ALIASES] DNS.1 = www.anotherhomepage.org DNS.2 = mail.anotherhomepage.org </pre> <p>Ensuite, on crée les répertoires et fichiers qui vont bien&nbsp;:</p> <pre>root@thunderbluff:~ #cd /etc/pki </pre> <pre>root@thunderbluff:/etc/pki #mkdir -p CA/newcerts </pre> <pre>root@thunderbluff:/etc/pki #touch CA/index.txt </pre> <pre>root@thunderbluff:/etc/pki #echo 01 &gt; CA/serial </pre> <p>Allez, on génère tout certificat de l'autorité, certificat serveur, clés...:</p> <pre>root@thunderbluff:/etc/pki #cd CA</pre> <pre>root@thunderbluff:/etc/pki/CA #openssl req -nodes -new -x509 -keyout thunderbluff-ca.key -out thunderbluff-ca.crt</pre> <pre>root@thunderbluff:/etc/pki/CA #openssl req -nodes -new -keyout thunderbluff.key -out thunderbluff.csr</pre> <pre>root@thunderbluff:/etc/pki/CA #openssl ca -cert aaron-ca.crt -keyfile thunderbluff-ca.key -out thunderbluff.crt -in thunderbluff.csr</pre> <p>Et puis pour Vsftpd ça peut aider&nbsp;:</p> <pre>root@thunderbluff:/etc/pki/CA #cat thunderbluff.key thunderbluff.crt &gt; thunderbluff.pem</pre> <p>Emballez c'est pesé&nbsp;!</p> http://blog.anotherhomepage.org/post/2008/07/19/SSL-a-l-arrache#comment-form http://blog.anotherhomepage.org/post/2008/07/19/SSL-a-l-arrache#comment-form http://blog.anotherhomepage.org/feed/atom/comments/120 http://blog.anotherhomepage.org/post/2008/05/24/Installation-de-mod_gnutls-sur-CentOS-5 urn:md5:694735a75d2dd804eee88b6d9b47fb67 Sat, 24 May 2008 10:30:00 +0200 Nils Linux et Logiciels libres ApacheCentOSLinuxmod_gnutlsmod_sslRPMSSLTLS <p>petit lien à garder sous le coude au cas où</p> <p>Il y a quelques jours je voulais mettre plusieurs sites Internet en <a href="http://fr.wikipedia.org/wiki/Http#HTTPS" hreflang="fr">HTTPS</a>, sur le même serveur dédié. Or, ceci n'est (presque) pas possible en utilisant <a href="http://www.modssl.org/" hreflang="en">mod_ssl </a>avec <a href="http://httpd.apache.org/" hreflang="en">Apache</a>. Toutefois, ceci est rendu possible via l'utilisation de <a href="http://www.outoforder.cc/projects/apache/mod_gnutls/" hreflang="en">mod_gnutls</a>. Pour ceux qui ont CentOS 5, voici <a href="http://www.hughesjr.com/content/view/20/29/" hreflang="en">un petit lien</a> pour l'installer facilement. je crois que mod_gnutls est aussi disponible pour Mandriva. Sinon, il reste à compiler les sources <img src="/themes/default/smilies/wink.png" alt=";-)" class="smiley" /></p> http://blog.anotherhomepage.org/post/2008/05/24/Installation-de-mod_gnutls-sur-CentOS-5#comment-form http://blog.anotherhomepage.org/post/2008/05/24/Installation-de-mod_gnutls-sur-CentOS-5#comment-form http://blog.anotherhomepage.org/feed/atom/comments/112