Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:changer_le_certificat [13/01/2011 09:02] dani |
tuto:ipasserelle:authentification:changer_le_certificat [08/12/2015 15:33] (Version actuelle) dani [Changer le certificat SSL utilisé sur SME] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Changer le certificat SSL utilisé sur SME ====== | ====== Changer le certificat SSL utilisé sur SME ====== | ||
- | Sur SME, par défaut, | + | Sur SME, par défaut, |
- | * La première étape est bien sûre d' | + | * La première étape est bien sûre d' |
* Nous allons maintenant placer ce certificat sur notre SME favorite | * Nous allons maintenant placer ce certificat sur notre SME favorite | ||
* Il faut créer un nouveau fichier dans / | * Il faut créer un nouveau fichier dans / | ||
<code bash> | <code bash> | ||
- | vim / | + | export DOMAIN=$(db configuration get DomainName) |
+ | vim / | ||
</ | </ | ||
Puis y coller le certificat | Puis y coller le certificat | ||
* Maintenant, la même chose pour la clef privée | * Maintenant, la même chose pour la clef privée | ||
<code bash> | <code bash> | ||
- | vim / | + | vim / |
</ | </ | ||
* On restreint l' | * On restreint l' | ||
<code bash> | <code bash> | ||
- | chmod 600 / | + | chmod 600 / |
</ | </ | ||
* On configure apache pour utiliser ce nouveau certificat | * On configure apache pour utiliser ce nouveau certificat | ||
<code bash> | <code bash> | ||
- | db configuration setprop modSSL crt / | + | db configuration setprop modSSL crt / |
- | key / | + | key / |
</ | </ | ||
* on régénère le fichier pem (qui est une concaténation du certificat et de la clef) | * on régénère le fichier pem (qui est une concaténation du certificat et de la clef) | ||
Ligne 36: | Ligne 37: | ||
sv t / | sv t / | ||
</ | </ | ||
- | * Il ne reste plus qu'à relancer | + | * Il ne reste plus qu'à relancer |
<code bash> | <code bash> | ||
+ | expand-template / | ||
signal-event email-update | signal-event email-update | ||
+ | sv t / | ||
+ | sv t / | ||
+ | sv t / | ||
</ | </ | ||
- | * et tout les autres services qui utilisent un certificat | + | * et tous les autres services qui utilisent un certificat |
<code bash> | <code bash> | ||
- | signal-event | + | sv t /service/ldap |
+ | sv t / | ||
</ | </ | ||
- | Il ne reste qu'à vérifier que tout fonctionne comme prévu, et que tout les services utilisent bien le nouveau certificat | + | Il ne reste qu'à vérifier que tout fonctionne comme prévu, et que tous les services utilisent bien le nouveau certificat |
+ | |||
+ | ====== Certificat avec autorité intermédiaire ====== | ||
+ | |||
+ | Bug traitant du sujet: http:// | ||
+ | |||
+ | Certains certificats ne sont pas directement signés par une autorité de confiance, mais par une CA intermédiaire (qui n'est pas inclus directement dans les navigateurs). C'est le cas par exemple des certificats RapidSSL (GeoTrust). Dans ce cas, impossible pour les clients (navigateurs, | ||
+ | |||
+ | <code bash> | ||
+ | db configuration setprop modSSL CertificateChainFile / | ||
+ | expand-template / | ||
+ | sv t / | ||
+ | expand-template / | ||
+ | </ | ||
+ | |||
+ | Voilà, maintenant, le fichier pem (concaténation du certificat et de la clef privée) contient également le(s) certificat(s) intermédiaire(s), | ||
+ | |||
+ | <code bash> | ||
+ | signal-event email-update | ||
+ | signal-event ldap-update | ||
+ | </ |