Génération d'une clé
Premièrement, vous devez supprimer la clé et le certificat générés durant l'installation. Passez, à l'aide de la commande cd, au répertoire /etc/httpd/conf.
Utilisez les commandes suivantes pour supprimer les deux fichiers :
rm ssl.key/server.key |
et
rm ssl.crt/server.crt |
La première étape de la création d'un certificat consiste à créer votre clé aléatoire. Tapez la commande suivante pour générer votre clé :
make genkey |
Votre système affiche un message similaire au message suivant :
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Vous devez à présent taper un mot de passe. Pour optimiser la sécurité, votre mot de passe doit compter au moins huit caractères, contenir des signes de ponctuation et ne pas être un mot du dictionnaire. Par ailleurs, n'oubliez pas que votre mot de passe est sensible à la casse.
 | Remarque |
|---|---|
Vous devrez vous rappeler de votre mot de passe et l'entrer chaque fois que vous démarrerez votre Red Hat Linux Secure Web Server ; alors, ne l'oubliez pas. |
Vous serez invité à entrer à nouveau votre mot de passe afin que le système puisse vérifier s'il est correct. Lorsque vous l'aurez tapé correctement, un fichier appelé server.key contenant votre clé sera créé.
Notez que, si vous ne voulez pas devoir saisir le mot de passe à chaque fois que vous lancez le Red Hat Linux Secure Web Server, vous devrez utiliser les deux commandes suivantes au lieu de make genkey pour créer la clé. Ces deux commandes doivent être tapées entièrement sur une ligne.
Utilisez la commande suivante :
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
pour créer votre clé. Puis utilisez la commande suivante :
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
pour vous assurer que les autorisations sont correctement définies sur votre clé.
Après avoir utilisé les commandes ci-dessus pour créer votre clé, vous devrez utiliser un mot de passe pour démarrer votre Red Hat Linux Secure Web Server.
 | Attention |
|---|---|
La désactivation de la fonction de mot de passe pour votre serveur Web sécurisé constitue un risque pour la sécurité. Nous vous conseillons de ne PAS désactiver la fonction de mot de passe pour votre Red Hat Linux Secure Web Server. |
Les problèmes associés à la non-utilisation d'un mot de passe sont directement liés à la sécurité maintenue sur l'ordinateur hôte. Par exemple, si un individu peu scrupuleux compromet la sécurité UNIX normale de l'ordinateur hôte, il pourrait obtenir votre clé privée (le contenu de votre fichier server.key). La clé pourrait être utilisée pour "maquiller" des pages Web afin de donner l'impression qu'elles viennent de votre site.
Si les pratiques de sécurité UNIX sont scrupuleusement respectées pour l'ordinateur hôte (c'est-à-dire si toutes les corrections et mises à jour du système d'exploitation sont installées dès qu'elles sont disponibles, si aucun service dangereux n'est utilisé, etc.), le mot de passe de Red Hat Linux Secure Web Server peut sembler superflu. Toutefois, du fait que votre Red Hat Linux Secure Web Server ne doit pas être redémarré très souvent, la sécurité supplémentaire offerte par la saisie d'un mot de passe mérite ce petit effort dans la plupart des cas.
Le fichier server.key doit appartenir à l'utilisateur root du système et ne doit être accessible à aucun autre utilisateur. Créez une copie de sauvegarde de ce fichier et conservez-la en lieu sûr. Vous avez besoin de la copie de sauvegarde parce que, si vous perdez le fichier server.key après l'avoir utilisé pour créer votre demande de certificat, votre certificat ne fonctionnera plus et la CA ne sera pas en mesure de vous aider. La seule solution serait de demander (et payer) un nouveau certificat.
Si vous vous disposez à acheter un certificat à une CA, passez à la la section intitulée Génération d'une demande de certificat à envoyer à la CA. Si vous générez votre certificat autographe, passez à la la section intitulée Création d'un certificat autographe.