Comment ré-émettre le certificat OpenSSL snakeoil?

15

À la lumière du récent fiasco et de tout le reste, je me suis efforcé de renforcer la sécurité sur certains serveurs. Ma question est de savoir comment puis-je rééditer le certificat Snakeoil fourni avec Openssl?

Le certificat qu'il utilise actuellement a été délivré en 2012, donc clairement avant cet incident. Il semble donc que le protocole ici soit de rééditer tous les certificats et je ne peux pas trouver d'informations sur la façon de le faire pour snakeoil.

Je suis le seul à utiliser ce cert, pour PHPmyadmin, donc dois-je même le mettre à jour?

openssh foochow
la source
2
Vous savez pourquoi elle s'appelle "huile de serpent"? Les clés sont les mêmes sur toutes les installations - il n'est donc pas vraiment nécessaire de les recréer maintenant . Quoi qu'il en soit: en créer de nouvelles est une bonne idée ™.
guntbert
Le mien s'est cassé au hasard d'une manière ou d'une autre. Je ne sais pas comment les certificats SSL fonctionnent. Je voulais juste que mes Postgres commencent.
sudo
1
Ce ne sont pas les mêmes, ils sont attribués au nom d'hôte.
pause jusqu'à nouvel ordre.

Réponses:

17

Vous pouvez utiliser ce one-liner pour régénérer les deux fichiers en une seule fois. Vous devrez redémarrer Apache une fois le certificat recréé.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Si vous êtes préoccupé par la sécurité (et vous devriez l'être), vous devez régénérer les certificats sur tous les serveurs critiques concernés, suivi d'un redémarrage exhaustif du service ou d'un redémarrage du système.

Si vous exécutez simplement une boîte de jeu sur votre réseau local, c'est une chose, mais tout ce que vous avez sur Internet, vous devez certainement le rééditer.

jkt123
la source
Excellent, merci. Sera à la réédition, agréable de voir un seul revêtement.
foochow
1
Comme il s'agit d'une vieille question, mais qui a été soulevée à nouveau: nous avons aujourd'hui Let's encrypt, qui fournit des certificats gratuits et automatisés. Il n'y a aucune raison de ne pas l'utiliser si la box communique via Internet public.
vidarlo
Génial, corrigé pour moi. Postgres avait des problèmes avec ça.
sudo
1

Ici, j'ai trouvé qu'il y avait cette commande:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
la source