Copie et création de référentiels de packages dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Création d'une autorité de certification de serveur autosigné

Pour des tests, vous pouvez utiliser un certificat de serveur autosigné authority (CA) au lieu d'un CA tiers. La procédure de création d'une CA de serveur autosigné pour Apache est très similaire à celle pour le client pour créer un les certificats CA décrite dans Création d'une autorité de certification des certificats client.

Exécutez la commande suivante pour créer un serveur CA. Définissez le subject au nom DNS du serveur.

$ pktool gencert label=apacheCA subject="CN=apachetest" \
serial=0x01

Exécutez la commande suivante pour créer un CA CSR d'un serveur, procédez comme suit. Si le serveur est accessible sous plusieurs noms ou que vous vouliez le rendre disponible sous l'adresse IP directement, utilisez la directive subjectAltNames comme décrit dans OpenSSL Autre nom de la documentation dans Nom de sujet alternatif dans la documentation OpenSSL.

$ pktool gencsr label=apache subject="CN=pkg-sec.internal.example.com" \
altname="IP=192.168.1.1,DNS=pkg-sec.internal.example.com" \
format=pem outcsr=apache.csr

Utilisez la commande suivante pour signer le CSR. Utilisez server.crt pour SSLCertificateFile.

$ pktool signcsr signkey=apacheCA csr=apache.csr serial=0x02 \
outcert=server.crt issuer="CN=apachetest"

Utilisez la commande suivante pour extraire la clé. Utilisezserver.key pour SSLCertificateKeyFile.

$ pktool export objtype=key label=apache outformat=pem \
outfile=server.key

Pour vous assurer que votre client acceptera cette clé de serveur, ajoutez le certificat CA (apacheCA) au répertoire des CA acceptées sur le système client et redémarrez le service ca-certificates pour créer les liaisons requises pour OpenSSL.

Utilisez la commande suivante : pour extraire le certificat CA

$ pktool export label=apacheCA objtype=cert outformat=pem \
outfile=test_server_ca.pem

Copiez le certificat CA certificat au répertoire sur le CA ordinateur client, procédez comme suit :

$ cp /path-to/test_server_ca.pem /etc/certs/CA/

Les certificats CA : redémarrez le service

$ svcadm refresh ca-certificates

Avant de continuer, vérifiez que votre nouveau certificat a été lié CA. Après l'actualisation, le certificat de service ca-certificate reconstruit les liaisons dans le répertoire /etc/openssl/certs. Exécutez la commande suivante pour vérifier si votre nouveau certificat a été liée : CA

$ ls -l /etc/openssl/certs | grep test_server_ca.pem
lrwxrwxrwx   1 root     root          40 May  1 09:51 e89d96e0.0 -> ../../certs/CA/test_server_ca.pem

La valeur de hachage, e89d96e0.0, peut être différent pour vous, étant donné qu'elle est basée sur l'objet de votre certificat.