Certificat: création d’un « sign request »
Publié le 4 avril 2007 par magnus (retour à la page principale du site)
Pour créer un « certificate sign request »:
$ openssl req -new -keyout newkey.pem -out newreq.pem -days 360
Using configuration from /usr/lib/ssl/openssl.cnf
Generating a 1024 bit RSA private key
..........++++++
........................++++++
writing new private key to 'newkey.pem'
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: CH
State or Province Name (full name) [Some-State]:Vaud
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:magOOweb
Organizational Unit Name (eg, section) []:DSI
Common Name (eg, YOUR name) []:magooweb.com
Email Address []:magnus@magooweb.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Pour un certificat de serveur web, le « Common Name » est important et doit correspondre au nom publique du serveur. Par exemple, nous pouvons mettre magooweb.com ou secure.magooweb.com.
Le mot de passe pourra être supprimé par la suite en lançant la commande suivante:
$ openssl rsa -in newkey.pem -out serverkey.pem
$ chmod 400 serverkey.pem
Il est important de changer les permissions du nouveau fichier (clé secrète du associée au certificat), il n’est plus protégé par le mot de passe.
Pour la signature du certificat, il faut voir l’article expliquant l’autorité de certification.