mise en placed'un nouveau certificat ssl sur sme7.3

[Le nouveau linuxien]

Bonjour!

j'avoue que suis novice en la matière, mon problème est que je dois installer un certificat ssl sur le serveur sme 7.3 et je ne sais pas comment faire. toutefois on me demande mon certificat rsc (??????!!!) et je ne sais pas comment voir ce certificat rsc sur le serveur.

qui peut me donner un coup de main ou une bonne tuto à ce sujet?? merci d'avance.

[Hugotor]

Bonjour,

Sans doute ceci t'aidera :

http://wiki.contribs.org/Custom_CA_Certificate

Bonne journée !

[Le nouveau linuxien]

Merci beaucoup de m'avoir répondu, je vais lire la tuto et m'y atteler, mais dès que je rencontrerais un problème je crierais à nouveau

[Le nouveau linuxien]

je n'arrive toujours pas a connaitre les lignes de commandes pour connaitre la requetes csr. merci de m'aider.

[unnilennium]

et google il raconte quoi ? si on lui pose la question "certificat rsc" gentillement


http://www.verisign.fr/support/ssl-cert ... ation.html

Requête de Signature de Certificat (RSC)

tu y decouvriras entre autre de RSC est la francisation de CSR ... et au miracle si tu fouille dans ton serveur du coté de /home/e-smith/ tu trouves des dossier ssl dont un avec un fichier *.csr

donc tu n'as rien a faire du tout (ou pantoute pour les Quebecois qui liront) c'est deja dans le pot dés l'ouverture.



JPP

[Le nouveau linuxien]

j'ai suivi les recommandations de unnilennium , j'ai fouillé dans mon serveur, j'ai bel et bien trouvé les répertoires:

/home/e-smith/ssl.crt
/home/e-smith/ssl.key
/home/e-smith/ssl.pem

mais aucun ne contient de fichier *.csr ou *.crs. apparemment il faut le générer, je vais donc tout de suite voir chez verisign http://www.verisign.fr/support/ssl-cert ... ation.html

[unnilennium]

encore une fois SME genere automatiquement tous les certificat tout seul tu n'a spas besoin d'y mettre le nez, à moins que chose que tu nous explique pas tu veuille le faire certifier par un organisme externe.... mais la il faudrait le preciser poru qu'on puisse t'aider et te pointer vers le bon how to ou le sthread a ce sujet sur ixus et contribs deja resolus.


Dans l'attente je ne peux que te dire tout se fait tout seul et ne mets pas ton nez dedans au risque de faire un carnage.

seule chose a bien remplir c'est la partie annuaire dans le server-manager qui sert a remplir le contenu du certificat.

dans l'attente dis nous si tu veux faire valider ton certif et surtout PAR QUI ?

[Le nouveau linuxien]

je vous remercie tous, pour l'aide que vous m'apportez, car je suis débutant sous linux; je m'arrangerais à poser des questions précises et moins agaçante.


effectivement, je voudrais faire valider mon certificat soit chez:

COMODO :
http://www.instantssl.com/index.html?ap ... 1AodYRRKQQ

ou chez TAWTE: Certificats SSL123

http://www.thawte.fr/certificats-numeri ... index.html


ou chez: https://securityserver.org/index.html

dans tous les cas, je voudrais valider mon certificat auprès d'une autorité de certification, pour au moins 2 ans (avec une solution financièrement abordable)

entre temps, j'ai déjà rempli l'annuaire dans le server-manager, et j'ai constaté que les nouveaux renseignements figure effectivement dans le certificat.

c'est donc ce certificat que je voudrais faire valider et, on me demande un "CERTIFICATE REQUEST" , et là je suis vraiment planté, car ne connaissant pas l'environnement linux (SME 7.3).

[unnilennium]

alors voila le how to qui devrais t'aider :


http://forums.contribs.org/index.php?topic=24067.0


desoler c'est en anglais

JPP

[Le nouveau linuxien]

Merci beaucoup unmillenium pour ta promptitude et le coup de pouce, je vais lire tout de suite le how et te donner la suite.

[Le nouveau linuxien]

encore une fois merci, J'ai suivi scrupuleusements les instructions :
1. Make the CSR

Code:
openssl req -new -nodes -keyout newserver.key -out newserver.csr

puis j'ai rempli et après avoir taper la commande: pico newserver.csr j'ai pu enfin avoir csr que j'ai copier dans la case; ensuite j'ai respecter la procédure d'enregistrement, puis après validation et activation via un lien, j'ai reçu de COMODO un fichier .zip contenant 5 fichiers:

1: AddTrustExternalCARoot.crt
2:ComodoUTNServerCA.crt
3:EssentialSSLCA.crt
4:UTNAddTrustServerCA.crt
5:www_mondomaine.crt

j'avoue à ce niveau que je suis un peu perplexe parce qu'en parcourant le how, la procédure ne me parle nullement des 5 fichiers.

quelqu'un a t il une idée?

merci d'avance!!

[Le nouveau linuxien]

Personne n'a rencontré ce type de problème?

[unnilennium]

a priori ils ont mit une extension crt a tous lers fichier alors que certain devraient avoir un .key

je n'ai donc qu'un conseil a te donner ouvrir les differents fichiers pour voir comment ils sont structuré comparer ceux de sme et ceux reçu, mettre la bonne extension et tester (apres avoir fait un backup de ceux generés par sme)

tu en es donc là

3. After you get an email back with your certificate and another file called ca.txt
*** Backup the files you change if you want to ***
a. Copy the text from the certificate you just got into:
/etc/httpd/conf/ssl.crt/server.crt
and
/home/e-smith/ssl.crt/yourhostname.yourdomainname.crt (double check what your file is named)

b. Copy the newserver.key file to replace the old server.key
Code:

cp newserver.key /etc/httpd/conf/ssl.key/server.key
cp /home/e-smith/ssl.key/yourhostname.yourdomainname.key

(double check what your file is named)

4. The chained SSL part:
Copy the ca.txt file you got by email (the chained ssl certificate) to /etc/httpd/conf/

Code:

mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/35SSL10SSLD



Add in a this single line of text to that file:
Quote
SSLCACertificateFile /etc/httpd/conf/ca.txt


5. Security / Restarting
(Updated Sept 8th)Ownership/Security of the crt and key files
Code:

chown root.root /etc/httpd/conf/ssl.key/server.key
chown root.root /etc/httpd/conf/ssl.crt/server.crt
chown root.root /home/e-smith/ssl.key/yourhostname.yourdomainname.key
chown root.root /home/e-smith/ssl.crt/yourhostname.yourdomainname.crt
chown root.root /etc/httpd/conf/ca.txt
chmod 400 /etc/httpd/conf/ssl.key/server.key
chmod 644 /etc/httpd/conf/ssl.crt/server.crt
chmod 400 /home/e-smith/ssl.key/yourhostname.yourdomainname.key
chmod 644 /home/e-smith/ssl.crt/yourhostname.yourdomainname.crt
chmod 644 /etc/httpd/conf/ca.txt



Expand the template & restart the service
Code:

/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf
service httpd restart
service httpd-admin restart



6. Should work fine - post your comments please

[Le nouveau linuxien]

j'ai finalement réussi tant bien que mal à installer le certificat, bien sûr en corrigeant quelques ommissions au niveau du how que je compte traduire en français pour la mettre à la disposition de tous.
en rouge les modifications faites:


1. Make the CSR

Code:
openssl req -new -nodes -keyout newserver.key -out newserver.csr
Country Name (2 letter code) [AU]: CA
State or Province Name (full name) [Some-State]: British Columbia
Locality Name (eg, city) []: Surrey
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Ltd
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: http://www.yourdomain.com/
Email Address []: email@yourdomain.com
A challenge password []:
An optional company name []:

NOTE: (Updated Sept 8th)The Common Name that you enter can't contain an asterisk eg *.yourdomain.com unless you are buying a 'Wildcard' certificate (much more expensive). I am using osCommerce software that forces people to use 'www.' but if your site doesn't do that, you may want both https://yourdomain.com/ and https://www.yourdomain.com/ to work, or if you need https://something.yourdomain.com/ to work then you need a 'Wildcard' SSL certificate.

2. Submit the CSR to instantssl.com

Code:
pico newserver.csr
(and select and paste the whole thing into the form on their website)

3. After you get an email back with your certificate and another file called ca.txt
*** Backup the files you change if you want to ***
a. Copy the text from the certificate you just got into:
/etc/httpd/conf/ssl.crt/server.crt
and
/home/e-smith/ssl.crt/yourhostname.yourdomainname.crt (double check what your file is named)

b. Copy the newserver.key file to replace the old server.key

Code:
cp newserver.key /etc/httpd/conf/ssl.key/server.key
cp newserver.key /home/e-smith/ssl.key/yourhostname.yourdomainname.key (double check what your file is named)

4. The chained SSL part:
Copy the ca.txt file you got by email (the chained ssl certificate) to /etc/httpd/conf/


Code:
mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf
pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/35SSL10SSLD

Add in a this single line of text to that file:

Quote
SSLCACertificateFile /etc/httpd/conf/ca.txt


5. Security / Restarting
(Updated Sept 8th)Ownership/Security of the crt and key files

Code:
chown root.root /etc/httpd/conf/ssl.key/server.key
chown root.root /etc/httpd/conf/ssl.crt/server.crt
chown root.root /home/e-smith/ssl.key/yourhostname.yourdomainname.key
chown root.root /home/e-smith/ssl.crt/yourhostname.yourdomainname.crt
chown root.root /etc/httpd/conf/ca.txt
chmod 400 /etc/httpd/conf/ssl.key/server.key
chmod 644 /etc/httpd/conf/ssl.crt/server.crt
chmod 400 /home/e-smith/ssl.key/yourhostname.yourdomainname.key
chmod 644 /home/e-smith/ssl.crt/yourhostname.yourdomainname.crt
chmod 644 /etc/httpd/conf/ca.txt

Expand the template & restart the service

Code:
/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf
service httpd restart
httpd-e-smith restart

6. Should work fine - post your comments please

lorsque j'ai fini le serveur apache a redemmarré, puis le nouveau certificat est apparu avec les mentions suivantes:

certifitat délivré à: mondomaine
délivré par: EssentialSSLCA
Valide du: XX/XX/XX au XX/XX/XX (la période de validité)

et quand je clique sur l'onglet "emmeteur" il est bien écrit EssentialSSLCA, COMMODO CA.

le problème c'est que malgré ce certificat le navigateur me pose toujours l'erreur de certificat, ce qui m'a vraiment attristé, mais en fouillant j'ai découvert deux choses:

1. que le how était bel et bien explicite et complet, mais apparemment l'installation (je pense actuelle) de instantSSL de COMMODO, a une deuxième étape qui est l'installation des 4 autres fichiers:

a: AddTrustExternalCARoot.crt
b:ComodoUTNServerCA.crt
c:EssentialSSLCA.crt
d:UTNAddTrustServerCA.crt

je suis donc partie sur le site de commodo (https://support.comodo.com/index.php) là attention il faut s'enregistrer et j'ai obtenu ceci:

You will receive an email from Comodo with the certificate in the email. The certificate will be called 'yourDOMAINNAME.crt' and will be within a *.zip file you have received as an email from us. When viewed in a text editor, your certificate will look something like this:

-----BEGIN CERTIFICATE-----
MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF
UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw
(.......)
E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39+l5aCEGGbauLP5W6
K99c42ku3QrlX2+KeDi+xBG2cEIsdSiXeQS/16S36ITclu4AADEAAAAAAAAA
-----END CERTIFICATE-----

Copy your Certificate into the same directory as your Private Key. In this example we will use '/etc/ssl/crt/'. The private key used in the example will be labeled 'private.key' and the public key will be 'yourDOMAINNAME.crt'.

Note: It is recommended that you make the directory that contains the private key file only readable by root.

Step two: Install the Intermediate Certificate

lisez bien à partir d'ici :

You will need to install the Intermediate CA certificates in order for browsers to trust your certificate. The Intermediate CA certificates are contained within the 'ca-bundle' file that was attached to your email in the *.zip file we sent you (this should be named 'yourSERVERNAME.ca-bundle'). In the relevant 'Virtual Host' section for your site, you will need to do the following to get this file correctly referenced:

a. First, copy the 'yourSERVERNAME.ca-bundle' file to the same directory as the certificate and key files. As a reminder, in this example we called the directory '/etc/ssl/crt/'.

b. Next, add the following line to the SSL section of the 'httpd.conf' file. Again we assume that '/etc/ssl/crt/' is the directory to where you have copied the intermediate CA file. If the line already exists amend it to read the following:

SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle

c. If you are using a different location and different certificate file names, you will need to change the path and filename to reflect the path and filename that you are using. The SSL section of the updated config file should now read:

SSLCertificateFile /etc/ssl/crt/yourDOMAINNAME.crt
SSLCertificateKeyFile /etc/ssl/crt/private.key
SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle

d. Save your 'config' file and restart Apache.

apache apache apache apache apache apache apache apache apache
Note: The ssl configuration file will always be referenced in the apache config file if the configuration is not included in it. Look for the lines starting 'include', which is the directive for including other files etc. For example, depending on the distribution, it might be called ssl.conf, httpd-ssl.conf etc


en définitive pour revenir à mon problème je ne sais plus dans quel répertoire faut il les loger et quel est donc la procédure?

/home/e-smith/ssl.crt ?
/etc/httpd/conf/ssl.crt ?

merci de votre contribution.

entre temps je suis en train de traduire tous en français pour mettre la doc à la disposition de tous.

[Le nouveau linuxien]

j'oubliais La deuxième chose que j'ai aussi constaté (au niveau du certificat), c'est que dans l'onglet "détail" il ya le 2 colonnes, la première c'est le " champ" et la deuxième la "valeur".

au niveau du champ il y a deux éléments marqué de point d'exclamation en l'occurence le champ "utilisation de la clé" et le champ "contrainte de base"

il y est mentionné comme commentaire (en bleu):

"utilisation de la clé": Signature numérique, Cryptage de la clé (a0)

"contrainte de base":Type d'objet=Entité finale
Contrainte de longueur de chemin d'accès=Aucun(e)