sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #97503
Re: Server certificate expired
Frank Damgaard wrote:
Jørgen Heesche skrev:
SKIP
så vidt jeg ved laver instadia.net blot "web analytisk" dvs. lidt populært
blot ekstern log over bruger på deres site, fordi f.eks. Nordea ikke selv
evner at se i deres logfiler.
Senere skiftede fejlmeddelelsen til 'Server certificate expired'. Den
kunne jeg også cansle, men så var der muligvis ikke SSL-kryptering på
forbindelsen til Nordea.
Jeg fik også certificate expired ved tilgang til Mysql via Apache.
ja da www.instadia.net har DNS til 127.0.0.1 som så er din egen webserver
så finder den ud af at din SSL certifikat er udløbet.
Google på "apache ssl certificate self signed create" evt. + mandriva
og der skulle komme en hel del links om hvordan du laver et nyt
certifikat til apache.
det er normalt "relativt" simpelt.
I Debian kunne man tidligere bruge "apache2-ssl-certificate"
f.eks. apache2-ssl-certificate -days 1000
laver et lokalt certifikat der løber 1000 dage
men det script er muligvis ikke med i nyere linux dists
så nu skal man selv kalde openssl med passende parametre ....
I Mandriva har jeg nu fundet 2 certificat-scripts i /etc/pki/tls/certs
make-dummy-cert:
#!/bin/sh
umask 077
answers() {
echo --
echo SomeState
echo SomeCity
echo SomeOrganization
echo SomeOrganizationalUnit
echo localhost.localdomain
echo root@localhost.localdomain
}
if [ $# -eq 0 ] ; then
echo $"Usage: `basename $0` filename [...]"
exit 0
fi
for target in $@ ; do
PEM1=`/bin/mktemp /tmp/openssl.XXXXXX`
PEM2=`/bin/mktemp /tmp/openssl.XXXXXX`
trap "rm -f $PEM1 $PEM2" SIGINT
answers | /usr/bin/openssl req -newkey rsa:1024 -keyout $PEM1
-nodes -x509 -days 365 -out $PEM2 2> /dev/null
cat $PEM1 > ${target}
echo "" >> ${target}
cat $PEM2 >> ${target}
rm -f $PEM1 $PEM2
done
og
Makefile:
UTF8 := $(shell locale -c LC_CTYPE -k | grep -q charmap.*UTF-8 && echo
-utf8)
SERIAL=0
.PHONY: usage
.SUFFIXES: .key .csr .crt .pem
.PRECIOUS: %.key %.csr %.crt %.pem
usage:
@echo "This makefile allows you to create:"
@echo " o public/private key pairs"
@echo " o SSL certificate signing requests (CSRs)"
@echo " o self-signed SSL test certificates"
@echo
@echo "To create a key pair, run \"make SOMETHING.key\"."
@echo "To create a CSR, run \"make SOMETHING.csr\"."
@echo "To create a test certificate,
run \"make SOMETHING.crt\"."
@echo "To create a key and a test certificate in one file,
run \"make SOMETHING.pem\"."
@echo
@echo "To create a key for use with Apache,
run \"make genkey\"."
@echo "To create a CSR for use with Apache,
run \"make certreq\"."
@echo "To create a test certificate for use with Apache,
run\"make testcert\"."
@echo
@echo "To create a test certificate with serial number other
than zero, add SERIAL=num"
@echo
@echo Examples:
@echo " make server.key"
@echo " make server.csr"
@echo " make server.crt"
@echo " make stunnel.pem"
@echo " make genkey"
@echo " make certreq"
@echo " make testcert"
@echo " make server.crt SERIAL=1"
@echo " make stunnel.pem SERIAL=2"
@echo " make testcert SERIAL=3"
Makefile lines 19-36/74 56%
Begge scripts sætter gyldighedsperioden til 365 dage, men det kan nemt
ændres ved at editere scriptet.
Jeg kreeret dette certificat med 'make testcert SERIAL=1
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=DK, CN=localhost
Validity
Not Before: Feb 6 14:24:55 2009 GMT
Not After : Nov 3 14:24:55 2011 GMT
Subject: C=DK, CN=localhost
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
. . . . .
--
Med venlig hilsen
Jørgen Heesche
mailto:heesche@xxxxxxxxxxx
References
