Génération d'une clé

D'abord, utilisez la commande cd pour vous rendre au répertoire /etc/httpd/conf. Supprimez la fausse clé et le faux certificat qui ont été créés lors de l'installation à l'aide de la commande suivante :

rm ssl.key/server.key
rm ssl.crt/server.crt

Ensuite, vous devez créer votre propre clé aléatoire. Entrez la commande suivante :

make genkey

Votre système affiche alors un message qui ressemble à ce qui suit :

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:

Vous devez maintenant entrer un mot de passe. Pour plus de sécurité, votre mot de passe devrait être composé d'au moins huit caractères, contenir des lettres, des chiffres, des signes de ponctuation et ne pas être un mot du dictionnaire. De plus, n'oubliez pas que votre mot de passe est sensible à la casse.

	Remarque
	Vous devez vous rappeler ce mot de passe et l'entrer chaque fois que vous lancez votre serveur Web sécurisé alors tâchez de ne pas l'oublier.

Entrez de nouveau le mot de passe, pour vous assurer qu'il est écrit correctement. Une fois que c'est fait, un fichier appelé server.key, contenant votre clé, est créé.

Si vous ne voulez pas entrer votre mot de passe chaque fois que vous lancez votre serveur Web sécurisé, vous devez utiliser les deux commandes suivantes à la place de make genkey pour créer la clé. Ces deux commandes doivent être écrites en entier sur une seule ligne.

Utilisez la commande

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

pour créer votre clé. Puis utilisez la commande

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

pour vous assurer que les autorisations sont définies correctement sur votre clé.

Après avoir utilisé les commandes ci-dessus pour créer votre clé, vous ne devrez plus utiliser de mot de passe pour lancer votre serveur Web sécurisé.

	Avertissement
	La désactivation de la fonction de mot de passe de votre serveur Web sécurisé est un risque potentiel pour la sécurité. Nous NE vous recommandons PAS de désactiver cette fonction pour votre serveur Web sécurisé.

Les problèmes associés au fait de ne pas utiliser de mot de passe sont directement liés à la sécurité maintenue sur l'ordinateur hôte. Exemple : si un individu peu scrupuleux compromet la sécurité UNIX normale de l'ordinateur hôte, cette personne peut alors obtenir votre clé privée (le contenu du fichier server.key). Cette clé pourrait ensuite être utilisée pour servir des pages Web comme si elles provenaient de votre serveur Web

Si la sécurité UNIX est maintenue rigoureusement sur l'ordinateur hôte (tous les correctifs et les mises à jour sont installés dès qu'ils sont disponibles, aucun service risqué ou inutile n'est exécuté, etc.), le mot de passe de votre serveur Web sécurisé peut alors sembler superflu. Toutefois, comme votre serveur Web sécurisé ne devrait pas avoir besoin d'être redémarré très souvent, la sécurité additionnelle offerte par l'entrée d'un mot de passe est un petit effort qui vaut la peine d'être fait dans la plupart des cas.

Le fichier server.key devrait être la propriété du super-utilisateur sur votre système et aucun autre utilisateur ne devrait pouvoir y accéder. Faites une copie de sauvegarde de ce fichier et gardez-la en lieu sûr. Vous avez besoin de cette copie de sauvegarde car si vous perdez votre fichier server.key après l'avoir utilisé pour créer votre demande de certificat, votre certificat ne fonctionnera plus et le fournisseur de certificats ne pourra rien faire pour vous aider. La seule solution qui s'offrira à vous sera de demander (et payer) un nouveau certificat.

Si vous prévoyez acheter un certificat d'un fournisseur de certificats, passez à la la section intitulée Génération d'une demande de certificat à envoyer à un fournisseur de certificats (CA). Si vous désirez générer votre propre certificat auto signé, passez à la la section intitulée Création d'un certificat auto signé.