Ayant mon nom de domaine chez Gandi, en renouvelant mon domaine, je gagne un certificat SSL valide. Je me suis donc mis dans l'idée de l'utiliser.
*** La particularité de Gandi, c'est que l'autorité de certification de Gandi n'est pas forcément reconnue partout. Il faut donc ajouter un certificat intermédiaire dans la boucle, ce que SME ne fait pas tout a fait naturellement ***
Attention, toutes les manips ont été faites sur SME 8, mais je tends à penser que c'est pareil pour SME 7.5
Il ne s'agit pas d'un document qui explique tous les choix, mais d'un mode 'bout à bout'
Je retranscris de mémoire, mais çà doit être assez exact.
1) génération sur SME des fichiers csr et key pour faire la demande chez Gandi.
- Code: Tout sélectionner
openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr
Generating a 2048 bit RSA private key
..+++
........+++
writing new private key to 'a.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR
State or Province Name (full name) [Berkshire]:.
Locality Name (eg, city) [Newbury]:Paris
Organization Name (eg, company) [My Company Ltd]:Schirrms Studio
Organizational Unit Name (eg, section) []:Home
Common Name (eg, your name or your server's hostname) []:www.schirrms.net
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Inutile de mettre comme nom de domaine *.votredomaine.tld, cette option n'est disponible que pour des certificats plus chers.
Perso, j'ai mis http://www.schirrms.net, et, bonne surprise, mon certificat est valable pour http://www.schirrms.net et également pour schirrms.net
2) dépot du .csr chez gandi, en indiquant comme source 'apache'
3) attente du certificat en retour
récupérer votre fichier crt, et également le fichier .pem de gandi, vous en aurez besoin.
Un peu de préparation pour SME (Sans cela, le fichier d'autorité intermédiaire est pris pour le Web, mais pas pour le mail) :
- Code: Tout sélectionner
mkdir -p /etc/e-smith/templates-custom/home/e-smith/ssl.pem
vi /etc/e-smith/templates-custom/home/e-smith/ssl.pem/60pem
# contenu de 60pem
{
my $pem = $modSSL{'CertificateChainFile'};
if ($pem)
{
open(PEM, $pem) or warn "Intermediate Certificate File defined, but cannot open $pem : $!";
my @pem = <PEM>;
chomp @pem;
$OUT = join "\n", @pem;
close PEM;
}
}
Après, en inspiration pialasse
- Code: Tout sélectionner
mkdir /root/sslsauve
export LH=$HOSTNAME.`config gettype DomainName`
mv /home/e-smith/ssl.crt/* /root/sslsauve
mv /home/e-smith/ssl.key/* /root/sslsauve
mv /home/e-smith/ssl.pem/* /root/sslsauve
# il s'agit du fichier .key de l'étape 1
cp server.key /home/e-smith/ssl.key/$LH.key
# Il s'agit du certificat revenu de chez Gandi
cp cert-{votre nom de domaine.crt /home/e-smith/ssl.crt/$LH.crt
# Il s'agit du certificat intermédiaire de Gandi. Sans ce certificat, mon site passait sous IE, mais pas sous Firefox ?
# Attention : ne surtout pas appeler le ficher nom-de-domaine.pem, car ce ficher sera regénéré plus tard !!!
cp GandiStandardSSLCA.pem /home/e-smith/ssl.pem/GandiStandardSSLCA.pem
# A ce moment, si vous redémarrez votre serveur WEB, votre certificat est actif ... jusqu'à la prochaine reconfiguration de SME ! Pas bon...
# Il faut faire savoir à SME que l'on ne veut plus de ses certificat self signed :
# Pour cela, trois ajouts dans la database :
config setprop modSSL crt /home/e-smith/ssl.crt/$LH.crt
config setprop modSSL key /home/e-smith/ssl.key/$LH.key
# la ligne suivante est pour prendre en compte le certificat intermédiaire de Gandi.
config setprop modSSL CertificateChainFile /home/e-smith/ssl.pem/GandiStandardSSLCA.pem
# prise en compte des changements :
signal-event domain-modify
signal-event email-update
Voilà ! Votre certificat est appliqué sur votre site web, sur votre accès IMAPS (à priori aussi POPS, pas testé) et SSMTP.
Enjoy
Ceci est le résultat de plusieurs recherches sur le web, notamment sur le site de gandi, sur contribs.org et sur le site de JPP
Merci à toutes mes sources
A+,
Pascal
