Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:changer_le_certificat [30/08/2011 12:54] dani [Certificat avec autorité intermédiaire] |
tuto:ipasserelle:authentification:changer_le_certificat [08/12/2015 15:33] (Version actuelle) dani [Changer le certificat SSL utilisé sur SME] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Changer le certificat SSL utilisé sur SME ====== | ====== Changer le certificat SSL utilisé sur SME ====== | ||
- | Sur SME, par défaut, | + | Sur SME, par défaut, |
- | * La première étape est bien sûre d' | + | * La première étape est bien sûre d' |
* Nous allons maintenant placer ce certificat sur notre SME favorite | * Nous allons maintenant placer ce certificat sur notre SME favorite | ||
* Il faut créer un nouveau fichier dans / | * Il faut créer un nouveau fichier dans / | ||
Ligne 37: | Ligne 37: | ||
sv t / | sv t / | ||
</ | </ | ||
- | * Il ne reste plus qu'à relancer | + | * Il ne reste plus qu'à relancer |
<code bash> | <code bash> | ||
+ | expand-template / | ||
signal-event email-update | signal-event email-update | ||
+ | sv t / | ||
+ | sv t / | ||
+ | sv t / | ||
</ | </ | ||
- | * et tout les autres services qui utilisent un certificat | + | * et tous les autres services qui utilisent un certificat |
<code bash> | <code bash> | ||
- | signal-event | + | sv t /service/ldap |
+ | sv t / | ||
</ | </ | ||
- | Il ne reste qu'à vérifier que tout fonctionne comme prévu, et que tout les services utilisent bien le nouveau certificat | + | Il ne reste qu'à vérifier que tout fonctionne comme prévu, et que tous les services utilisent bien le nouveau certificat |
====== Certificat avec autorité intermédiaire ====== | ====== Certificat avec autorité intermédiaire ====== | ||
Ligne 52: | Ligne 57: | ||
Bug traitant du sujet: http:// | Bug traitant du sujet: http:// | ||
- | Certains | + | Certains |
<code bash> | <code bash> | ||
Ligne 58: | Ligne 63: | ||
expand-template / | expand-template / | ||
sv t / | sv t / | ||
- | </ | ||
- | |||
- | Voilà qui règle le soucis pour apache, reste à le régler pour les service de mail et LDAP (et tout autre service qui pourrait utiliser le certificat, comme ejabberd etc...). Pour cela, il faut créer un template-custom: | ||
- | |||
- | <code bash> | ||
- | mkdir -p / | ||
- | cat <<' | ||
- | { | ||
- | $OUT = ''; | ||
- | my $chain_file = $modSSL{CertificateChainFile}; | ||
- | return unless $chain_file; | ||
- | |||
- | open(CCF, $chain_file) or die "Could not open CertificateChainFile file: $!"; | ||
- | my @chain_file = < | ||
- | chomp @chain_file; | ||
- | $OUT = join " | ||
- | close CCF; | ||
- | } | ||
- | EOF | ||
expand-template / | expand-template / | ||
</ | </ | ||
- | Voilà, maintenant, le fichier pem (concaténation du certificat et de la clef privée contient également le(s) certificats intermédiaires, les clients pourront donc valider toute la chaîne, il ne reste qu'à relancer les services: | + | Voilà, maintenant, le fichier pem (concaténation du certificat et de la clef privée) contient également le(s) certificat(s) intermédiaire(s), les clients pourront donc valider toute la chaîne, il ne reste qu'à relancer les services: |
<code bash> | <code bash> |