tuto:ipasserelle:authentification:changer_le_certificat

Ceci est une ancienne révision du document !

Changer le certificat SSL utilisé sur SME

Sur SME, par défaut, tout les services nécessitant un certificat SSL utilisent le même, auto-signé et re-générer tout les ans (valide un an). Il est souvent utile de le remplacer par un autre certificat. Cette page explique la procédure, qui est valable aussi bien pour un certificat officiel (acheté à Verisign ou équivalent), une autorité indépendante comme CAcert, ou encore une autorité privée (par exemple, géré par PHPki)

  • La première étape est bien sûre d'obtenir un certificat. S'il est signée par une CA privée, autant en généré un wildcard (c-a-d qui sera valable pour tout les sous-domaines du domaine principal), pour cela il faut lui donner *.domain.tld comme nom commun. Ensuite, il faut récupérer ce certificat et la clef privée associée au format PEM
  • Nous allons maintenant placer ce certificat sur notre SME favorite
    • Il faut créer un nouveau fichier dans /home/e-smith/ssl.crt, par exemple /home/e-smith/ssl.crt/xxx.domain.tld.crt
vim /home/e-smith/ssl.crt/xxx.domain.tld.crt

Puis y coller le certificat

  • Maintenant, la même chose pour la clef privée
vim /home/e-smith/ssl.key/xxx.domain.tld.key
  • On restreint l'accès à ce fichier
chmod 600 /home/e-smith/ssl.key/xxx.domain.tld.key
  • On configure apache pour utiliser ce nouveau certificat
db configuration setprop modSSL crt /home/e-smith/ssl.crt/xxx.domain.tld.crt \
key /home/e-smith/ssl.key/xxx.domain.tld.key
  • on régénère le fichier pem (qui est une concaténation du certificat et de la clef)
expand-template /home/e-smith/ssl.pem/pem
  • On régénère la configuration d'apache et on vérifie que tout est OK
expand-template /etc/httpd/conf/httpd.conf
httpd -t
  • Si aucune erreur n'est détectée, on peut relancer apache, qui utilisera le nouveau certificat
sv t /service/httpd-e-smith
  • Il ne reste plus qu'à relancer tout les services de mails (pour qu'il utilise le nouveau certificat également
signal-event email-update
  • et tout les autres services qui utilisent un certificat
signal-event ldap-update

Il ne reste qu'à vérifier que tout fonctionne comme prévu, et que tout les services utilisent bien le nouveau certificat

  • tuto/ipasserelle/authentification/changer_le_certificat.1294905753.txt.gz
  • Dernière modification: 13/01/2011 09:02
  • de dani