Red Hat Enterprise Linux 3: Guide d'administration système | ||
---|---|---|
Précédent | Chapitre 27. Configuration du serveur sécurisé HTTP Apache | Suivant |
Pour générer une clé, vous devez être connecté en tant que super-utilisateur (ou root).
D'abord, utilisez la commande cd pour vous rendre dans le répertoire /etc/httpd/conf. Supprimez la fausse clé et le faux certificat qui ont été créés lors de l'installation à l'aide des commandes suivantes :
rm ssl.key/server.key rm ssl.crt/server.crt |
Ensuite, vous devez créer votre propre clé aléatoire. Passez dans le répertoire /usr/share/ssl/certs et tapez la commande suivante :
make genkey |
Votre système affiche alors un message semblable à l'extrait suivant :
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter pass phrase: |
Vous devez maintenant entrer une phrase-mot de passe. Pour une sécurité maximale, votre mot de passe devrait être composé d'au moins huit caractères, contenir des lettres, des chiffres et/ou des signes de ponctuation et ne devrait pas être un mot du dictionnaire. De plus, n'oubliez pas que votre phrase-mot de passe est sensible à la casse.
![]() | Remarque |
---|---|
Vous devez vous souvenir de cette phrase-mot de passe et devez la saisir à chaque fois que vous lancez votre serveur sécurisé ; efforcez-vous donc de ne pas l'oublier. |
Entrez de nouveau la phrase-mot de passe, pour vous assurer qu'elle est correctement écrite. La réussite de cette opération entraînera la création du fichier /etc/httpd/conf/ssl.key/server.key contenant votre clé.
Notez que si vous ne souhaitez pas saisir votre phrase-mot de passe chaque fois que vous lancez votre serveur sécurisé, vous devez utiliser les deux commandes ci-dessous à la place de make genkey, pour créer la clé.
Utilisez la commande suivante pour créer la clé :
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Utilisez ensuite la commande ci-dessous pour vous assurer que les autorisations sont correctement définies sur votre clé :
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
Après avoir utilisé les commandes ci-dessus pour créer votre clé, vous ne devrez plus utiliser de phrase-mot de passe pour lancer votre serveur sécurisé.
![]() | Attention |
---|---|
La désactivation de la fonction de mot de passe sur votre serveur sécurisé est un risque de sécurité potentiel. Nous vous recommandons de ne PAS désactiver cette fonction relative à la saisie de la phrase-mot de passe pour votre serveur sécurisé. |
Les problèmes associés au fait de ne pas utiliser de phrase-mot de passe sont directement liés à la sécurité gérée sur l'ordinateur hôte. Par exemple, si un individu peu scrupuleux compromet la sécurité UNIX normale de l'ordinateur hôte, cette personne pourrait alors obtenir votre clé privée (le contenu du fichier server.key). Cette clé pourrait ensuite être utilisée pour servir des pages Web comme si elles provenaient de votre serveur sécurisé.
Si la sécurité UNIX est maintenue de façon rigoureuse sur l'ordinateur hôte (tous les correctifs et les mises à jour du système d'exploitation sont installés dès qu'ils sont disponibles, aucun service risqué ou inutile n'est exécuté, etc.), la phrase-mot de passe de votre serveur sécurisé peut alors sembler superflue. Toutefois, comme votre serveur sécurisé ne devrait pas avoir besoin d'être redémarré très souvent, la sécurité supplémentaire offerte par l'entrée d'une phrase-mot de passe est appréciable dans la plupart des cas.
Le fichier server.key devrait être la propriété du super-utilisateur (ou root) de votre système et aucun autre utilisateur ne devrait pouvoir y accéder. Faites une copie de sauvegarde de ce fichier et gardez-la en lieu sûr. Vous aurez besoin de cette copie de sauvegarde car si vous perdez votre fichier server.key après l'avoir utilisé pour créer votre demande de certificat, votre certificat ne fonctionnera plus et l'autorité de certification ne pourra rien faire pour vous aider. La seule solution qui s'offrirait alors à vous serait de demander (et de payer pour) un nouveau certificat.
Si vous prévoyez d'acheter un certificat d'une autorité de certification, passez à la Section 27.7. Si vous désirez générer votre propre certificat auto-signé, passez à la Section 27.8.
Précédent | Sommaire | Suivant |
Types de certificats | Niveau supérieur | Génération d'une demande de certificat à envoyer à un fournisseur de certificats (CA) |