Bonjour,
Je galère depuis plusieurs jours pour installer un certificat pour un serveur OCS.
J'avais effectuer des tests avec un certificat autosigné, et je n'ai eu aucun problème.
Je veux remplacer ce certificat par un certificat signé par la pki de mon entreprise sous windows et là, ça ne marche plus !
Voici la méthode que j'utilise :
Je créé une clé privé et une demande de certificat en .CSR :
openssl req -newkey rsa:2048 -outform PEM -out certificats/vmp-parc.csr -keyout certificats/vmp-parc.key -keyform PEM -nodes
Je transmet ce fichier à ma pki windows via le formulaire web via copie collé.
Je reçois un fichier en .CER
Je convertis le fichier en .PEM
openssl x509 -out certificats/vmp-parc.pem -outform pem -in certificats/vmp-parc.cer
Je copie mes fichier dans les rep de la pki :
cp certificats/vmp-parc.pem /etc/pki/tls/certs/vmp-parc.crt
cp certificats/vmp-parc.key /etc/pki/tls/private/
J'ajoute ou modifie dans mon fichier SSL.CONF les lignes suivante:
vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/vmp-parc.crt
SSLCertificateKeyFile /etc/pki/tls/private/vmp-parc.key
<VirtualHost _default_:443>
ServerName vmp-parc.local:443
J'ai essayé aussi en ajoutant cette ligne et la clé publique de ma pki :
SSLCACertificateFile /etc/pki/CA/CA_mon-ent.cer
Mais ça ne marche pas mieux.
Lorsque je teste mon certificat :
[root@vmp-parc ~]# openssl verify -CAfile /etc/pki/CA/CA_mon_ent.cer certificats/vmp-parc.pem
certificats/vmp-parc.pem: OK
Mais si je n'indique pas CAfile :
[root@vmp-parc ~]# openssl verify certificats/vmp-parc.pem
certificats/vmp-parc.pem: /C=FR/ST=France/L=xxxx/O=xxxxx/CN=vmp-parc.xxxx.local
error 20 at 0 depth lookup:unable to get local issuer certificate
Mon agent OCS ne veut pas de ce certificat, alors que la même chose avec un certificat autosigné : ça marche ?!?
Voici les commandes que j'utilise pour autosigner mes certif :
openssl genrsa -out server.key 1024
openssl req -outform PEM -new -key server.key -x509 -days 1825 -out server.crt
Je ne comprend plus rien !
Merci pour votre aide.
Alfafa
# tu sais, tu pouvais continuer sur le sujet precedent, vu que c'est lié
Posté par NeoX . Évalué à 1.
http://linuxfr.org/forums/linuxg%C3%A9n%C3%A9ral/posts/pki-o%C3%B9-mettre-le-certificat-racine-de-confiance
[^] # Re: tu sais, tu pouvais continuer sur le sujet precedent, vu que c'est lié
Posté par alfafa . Évalué à 0.
Tu as raison !
Je trouvais que le titre ne correspondait plus au sujet, mais je pouvais le changer !
Merci
@+
# La fin justifie les moyens !
Posté par alfafa . Évalué à 0.
Bonjour,
Je viens de m’apercevoir que je n'ai pas besoin de signer le certificat !
En effet, je certificat d'OCS est copié sur chaque poste où l'agent est installé.
Une connexion en https sur le site OCS ou GLPI n'est pas nécessaire pour notre besoin.
Si cela changeait, il suffirait d'inclure un certificat uniquement pour le site en question.
J'ai cependant beaucoup appris sur les certificats.
Sujet Clos.
Alfafa
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.