Génération d'une clé
D'abord, allez au répertoire /etc/httpd/conf. Enlevez la fausse clé et le faux certificat générés lors de l'installation au moyen des commandes suivantes :
rm ssl.key/server.key rm ssl.crt/server.crt |
Puis, vous devez créer votre propre clé aléatoire. Entrez la commande suivante :
make genkey |
Votre système affiche ensuite un message qui ressemble à ceci :
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Vous devez maintenant entrer un mot de passe. Pour plus de sécurité, votre mot de passe devrait contenir au moins huit caractères, inclure des chiffres ou des signes de ponctuation et ne devrait pas être un mot tiré du dictionnaire. De plus, n'oubliez pas que votre mot de passe est sensible à la casse.
 | Remarque |
|---|---|
Vous devrez entrer ce mot de passe chaque fois que vous lancez votre secure Web server, alors tâchez de ne pas l'oublier. |
Puis, vous devez entrer à nouveau le mot de passe, pour assurer qu'il n'y a pas d'erreurs. Lorsque c'est fait, un fichier appelé server.key est créé et contient votre clé.
Il est à noter que si vous ne voulez pas entrer un mot de passe chaque fois que vous lancez votre serveur sécurisé, vous devez utiliser les deux commandes suivantes à la place de make genkey pour la création de la clé. Ces deux commandes doivent être écrites en entier sur une seule et même ligne.
Cette commande :
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
sert à créer votre clé. Ensuite utilisez la commande suivante :
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
pour vous assurer que les autorisations sont bien définies sur votre clé.
Après avoir utilisé les deux commandes mentionnées précédemment, vous n'avez plus à entrer de mot de passe lorsque vous lancez le secure Web server.
 | Avertissement |
|---|---|
La désactivation de la fonction de mot de passe de votre serveur Web sécurisé représente un risque pour sa sécurité. Nous ne vous recommandons PAS de désactiver la fonction de mot de passe de votre secure Web server. |
Les problèmes liés à la non-utilisation de mots de passe affectent directement la sécurité de l'ordinateur hôte. Par exemple, si un individu sans scrupules compromet la sécurité UNIX normale sur l'ordinateur hôte, cet individu pourrait obtenir votre clé privée (le contenu de votre fichier server.key). Cette clé pourrait ensuite être utilisée pour publier des pages Web comme si elles venaient de votre propre serveur Web.
Si les mesures de sécurité UNIX sont maintenues rigoureusement sur l'ordinateur hôte (c'est-à-dire que toute mise à jour du système d'exploitation est installée dès que possible, qu'aucun service inutile ou risqué n'est en cours d'exécution, etc.) le mot de passe du secure Web server peut sembler superflu. Cependant, comme votre secure Web server ne devrait pas être redémarré très souvent, l'opération supplémentaire qu'est l'entrée d'un mot de passe est un effort minime qui peut s'avérer très utile dans la plupart des cas.
Le fichier server.key doit être la propriété unique de l'utilisateur root de votre système et ne devrait être accessible à aucun autre utilisateur. Faites une copie de sauvegarde de ce fichier et gardez-la en lieu sûr. Cette copie de sauvegarde est nécessaire car si vous perdez le fichier server.key après l'avoir utilisé pour créer votre demande de certificat, votre certificat ne fonctionnera plus et le fournisseur de certificats ne pourra vous dépanner. La seule solution à ce problème est de demander (et de payer) un nouveau certificat.
Si vous prévoyez acheter un certificat auprès d'un fournisseur, poursuivez à la la section intitulée Création d'une demande de certificat à envoyer à un CA. Si vous préférez générer votre propre certificat autographe, poursuivez à la la section intitulée Création d'un certificat autographe.