Forum général.général Certfier une clé soi-même...

Posté par  (site web personnel, Mastodon) .
Étiquettes : aucune
0
5
nov.
2004
Hello,

Pour le serveur Jabber fritalk.com, je suis en train d'essayer de certifier ma clé SSL en mixant :

http://docs.myjabber.net/howto/ssl.htm(...)

(qui marche très bien mais qui produit des clés auto-signées)

et

http://myrddin.org/howto/debian-apache-sslcert.php(...)


Du coup, mon script modifié ressemble à ça :


OPENSSL=/usr/bin/openssl
ETCSSL=/etc/ssl/
## Génération du certificat et de la clé
openssl req -new -config $ETCSSL"openssl.cnf" -nodes -out key1.pem -keyout privkey.pem
openssl x509 -req -in key1.pem -out cert.pem -signkey privkey.pem \
-CA $ETCSSL"cacert.pem" -CAkey $ETCSSL"private/cakey.pem" -CAcreateserial -days 365
## effacement de la phrase servant de mot de passe
$OPENSSL rsa -in privkey.pem -out privkey.pem
## Assemblage
cat privkey.pem >> key.pem


Pourtant, si vous essayer de vous connecter par jabber à fritalk.com, vous aurez toujours une erreur. QQn sait à quoi c'est du et ce qui est faux dans mon script ?

Merci

  • # c'est également une clé auto-signé

    Posté par  (site web personnel) . Évalué à 2.

    c'est également une clé auto-signé mais par cakey.pem
    il faut donc publier le cacert.pem et l'intégrer aux navigateurs qui consultent le site, ou aux clients qui utilisent le serveur, sur https://fritalk.com(...) il y a apparement un pb de date de validité.

    • [^] # Re: c'est également une clé auto-signé

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Pour apache c'est normal, vu que je n'ai pas encore généré de clé ;-)

      Mais le problème c'est que pour Jabber, si je signe la clé comme je le dis dans le script, et bien le client refuse tout simplement de se connecter au serveur. Visiblement le certificat est pas le même, je dois avouer que je comprend pas trop..

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: c'est également une clé auto-signé

        Posté par  (site web personnel) . Évalué à 2.

        et bien le client doit avoir ton certificat public cacert.pem

        Il refuse la connection parcequ'il n'a pas d'interface de dialogue comme un navigateur.
        mais je ne sais pas comment cela s'installe sur le client, c'est peut-être très variable en fonction des clients ...

        bon courage

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.