sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #97449
Re: Server certificate expired
In <gm6q8e$d3u$1@xxxxxxxxxxxx> =?ISO-8859-1?Q?J=F8rgen_Heesche?= <heesche@xxxxxxxxxxx> writes:
>Mit ssl-certifikat er udløbet, hvordan kan det forlænges?.
>/etc/pki/tls/openssl.cnf:
>. . .
>default_days = 365 # how long to certify for
>default_crl_days= 30 # how long before next CRL
>default_md = sha1 # which md to use.
>preserve = no # keep passed DN ordering
>. . .
Er det et selv-udstedt certifikat, eller et officielt (købt) et ?
Helt fra bunden af, så starter du med at lave en cert. request:
# Customer role: Generate customer private key and a cert. request
openssl req -new -keyout mycert.key -out mycert.csr
# To view a certificate request
openssl req -noout -text -in mycert.csr
CSR-filen sender du til din certifikat-udsteder, og de returnerer
så et SSL certifikat til dig.
Hvis du selv vil lege certifikat-udsteder, så skal du først sætte
dig op til at være en CA:
# CA role : Setup the new CA
openssl req -new -x509 -keyout private/CAkey.pem -out private/CAcert.pem
if [ ! -f serial ]; then echo "01" >serial; fi
Så signerer du den request du lavede til dit eget certifikat - og her
kan du vælge hvor lang tid det skal være gyldigt:
# CA role: Sign the certificate using the CA private key
openssl ca -out mycert.cer -infiles mycert.csr -days 730
Man kan se hvad et certifikat indeholder:
# To view a certificate
openssl x509 -noout -text -in mycert.cer
mycert.key indeholder din private nøgle (krypteret!) og mycert.cer
er dit certifikat. Det er de to filer som f.eks. Apache skal bruge
til at køre https. At den private nøgle er krypteret betyder at du
skal indtaste kodeordet når certifikatet skal bruges, f.eks. når
du genstarter Apache. Hvis man vil undgå det, kan man konvertere
key-filen til en ikke krypteret udgave:
# To remove encryption from the private key
mv mycert.key mycert.key.encrypted
openssl rsa -in mycert.key.encrypted -out mycert.key
Mvh,
Henrik
Follow ups
References
