20.6. Création d'une clé
Pour générer une clé, vous devez être connecté en tant que super-utilisateur (ou root).
D'abord, utilisez la commande cd pour vous rendre au répertoire /etc/httpd/conf. Supprimez la fausse clé et le faux certificat qui ont été créés lors de l'installation à l'aide de la commande suivante:
rmssl.key/server.key rmssl.crt/server.crt |
Ensuite, vous devez créer votre propre clé aléatoire. Passez dans le répertoire /usr/share/ssl/certs et tapez la commande suivante:
makegenkey |
Votre système affiche alors un message qui ressemble à l'extrait suivant:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Vous devez maintenant entrer une phrase-mot de passe. Pour une sécurité maximale, votre mot de passe devrait être composé d'au moins huit caractères, contenir des lettres, des chiffres et/ou des signes de ponctuation et ne devrait pas être un mot du dictionnaire. De plus, n'oubliez pas que votre phrase-mot de passe est sensible à la casse.
 | Remarque |
|---|---|
Vous devez vous rappeler cette phrase-mot de passe et l'entrer à chaque fois que vous lancez votre serveur sécurisé; efforcez-vous donc de ne pas l'oublier. |
Entrez de nouveau la phrase-mot de passe, pour vous assurer qu'elle est correctement écrite. La réussite de cette opération entraînera la création du fichier /etc/httpd/conf/ssl.key/server.key contenant votre clé.
Notez que si vous ne voulez pas entrer votre phrase-mot de passe chaque fois que vous lancez votre serveur sécurisé, vous devez utiliser les deux commandes suivantes à la place de make genkey pour créer la clé.
Utilisez la commande suivante pour créer la clé:
/usr/bin/opensslgenrsa1024>/etc/httpd/conf/ssl.key/server.key |
Puis utilisez la commande ci-dessous pour vous assurer que les autorisations sont correctement définies sur votre clé:
chmodgo-rwx/etc/httpd/conf/ssl.key/server.key |
Après avoir utilisé les commandes ci-dessus pour créer votre clé, vous ne devrez plus utiliser de phrase-mot de passe pour lancer votre serveur sécurisé.
 | Attention |
|---|---|
La désactivation de la fonction de mot de passe sur votre serveur sécurisé est un risque de sécurité potentiel. Nous vous recommandons de ne PAS désactiver cette fonction relative à la saisie de la phrase-mot de passe pour votre serveur sécurisé. |
Les problèmes associés au fait de ne pas utiliser de phrase-mot de passe sont directement liés à la sécurité gérée sur l'ordinateur hôte. Par exemple, si un individu peu scrupuleux compromet la sécurité UNIX normale de l'ordinateur hôte, cette personne pourrait alors obtenir votre clé privée (le contenu du fichier server.key). Cette clé pourrait ensuite être utilisée pour servir des pages Web comme si elles provenaient de votre serveur sécurisé.
Si la sécurité UNIX est maintenue de façon rigoureuse sur l'ordinateur hôte (tous les correctifs et les mises à jour du système d'exploitation sont installés dès qu'ils sont disponibles, aucun service risqué ou inutile n'est exécuté, etc.), la phrase-mot de passe de votre serveur sécurisé peut alors sembler superflue. Toutefois, comme votre serveur sécurisé ne devrait pas avoir besoin d'être redémarré très souvent, la sécurité supplémentaire offerte par l'entrée d'une phrase-mot de passe est appréciable dans la plupart des cas.
Le fichier server.key devrait être la propriété du super-utilisateur (ou root) de votre système et aucun autre utilisateur ne devrait pouvoir y accéder. Faites une copie de sauvegarde de ce fichier et gardez-la en lieu sûr. Vous aurez besoin de cette copie de sauvegarde car si vous perdez votre fichier server.key après l'avoir utilisé pour créer votre demande de certificat, votre certificat ne fonctionnera plus et le fournisseur de certificats ne pourra rien faire pour vous aider. La seule solution qui s'offrirait alors à vous serait de demander (et de payer pour) un nouveau certificat.
Si vous prévoyez d'acheter un certificat d'un fournisseur de certificats, passez à la Section 20.7. Si vous désirez générer votre propre certificat auto-signé, passez à la Section 20.8.