Le 22/07/16 à 10:48, "Ph. Gras" <ph.g...@worldonline.fr> a écrit :
PG> Merci Vincent :-) PG> PG> >> openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out serveur.csr PG> >> PG> >> Ma question est quand j'exécute cette commande, est-ce que le fichier du certificat va se PG> >> placer dans /etc/ssl/certs où que je l'exécute, et la clé dans PG> >> /etc/ssl/private ? PG> > PG> > Les deux fichiers mentionnés dans la commande se retrouveront dans le PG> > répertoire en cours. Il n'y a pas encore de certificat à cette étape PG> > (c'est Gandi qui le fournira après leur avoir donné le CSR). PG> > -- PG> PG> c'est parfaitement exact ! Je viens de les créer dans /tmp et j'ai pu les comparer PG> avec ceux qui se trouvent dans /etc/ssl. Heureusement, openssl fonctionne comme toutes les autres commandes, les fichiers donnés en arguments sont en absolus s'il commencent par / et en relatif au dossier courant sinon PG> Savez-vous par quelle voie (naturelle ou pas) Gandi fournit le CRT ? Pour gandi je sais pas, mais en général tu crée ton csr, le fournit à une autorité de certification (ici gandi) et il te renvoient un cert (soit via leur interface, soit avec un mail te disant comment le récupérer). PG> D'un point de vue pratique et durant cette opération, ne vaut-il pas mieux pour PG> préserver une continuité du service inverser toutes les redirections du port 443 PG> vers le port 80 ? Pas besoin, tu attends d'avoir ton nouveau certificat, tu le met à la place de l'ancien (que tu as sauvegardé à coté) et reload apache, puis tu vérifie dans ton navigateur que ça marche (sinon tu remet l'ancien et nouveau reload). Attention, si le nouveau n'a pas été généré avec la même clé privé du serveur, faut aussi la changer (soit remplacer le fichier soit changer le chemin dans la conf apache). -- Daniel Reporter : What's your longevity secret ? Winston Churchill : Whisky, cigars and no sports. (il aurait en fait répondu "low sport", mais la légende est plus drôle)