web-dev-qa-db-fra.com

Les navigateurs acceptent un certificat auto-signé

J'ai créé un certificat auto-signé comme ceci:

#!/bin/bash

EXPIRE=3650

if [ $# -gt 1 ]; then

  EXPIRE=$2  

fi

mkdir -p $1
cd $1

openssl genrsa 2048 > $1.key
openssl req -new -x509 -nodes -sha1 -days $EXPIRE -key $1.key > $1.cert
openssl x509 -noout -fingerprint -text < $1.cert > $1.info

cat $1.cert $1.key > $1.pem
chmod 400 $1.key $1.pem

Et configuré mon serveur virtuel Apache pour utiliser ce cert.

Maintenant, je me demande quel fichier je dois importer dans un stockage client (Chrome ou Firefox) pour dire au navigateur que tout va bien!

1
Pascal

Nouvelle réponse après votre commentaire et en relisant votre message:

Je constate que vous avez d'abord créé une clé privée à l'aide de laquelle vous avez généré un certificat auto-signé. Vous avez utilisé le mot clé -new quelle chose signifie que pendant ce processus de génération, il existe également un CSR qui est créé.

Vous avez demandé quels fichiers stocker où. En réalité, vous devez définir:

  • Serveur : la clé privée, le certificat et le fichier CSR de votre serveur. Donc, dans votre cas, le fichier 1.pem contient déjà la clé privée et le certificat.
  • Client : Installez (uniquement) le certificat sur votre navigateur.

Ancienne réponse (conservée pour plus d’informations utiles):

Malheureusement, vous êtes sur un mauvais chemin et il est inutile de continuer car toute personne visitant votre site lira à nouveau un avis avertissant que son client (navigateur) l'avertissant que l'autorité de certification (AC) qui a délivré le certificat n'est pas fiable . poster:

Je veux dire que votre certificat est auto-signé et vous pouvez donc voir que vous lui faites confiance, mais il doit plutôt être fait confiance en créant d'abord une autorité centrale.

Ne comptez pas sur les utilisateurs pour accepter et charger votre clé privée de certificat auto-signée, ce qui constituera plutôt un obstacle pour attirer un public pour votre site Web.

La plupart des fournisseurs d’hébergement tels que AWS et OVH vous proposent d’installer, pour leur compte, un certificat auto-signé SSL gratuit mais efficace, appelé Let's Encrypt , renouvelable tous les 3 mois (pour des raisons de sécurité et autres). ). Si votre fournisseur d’hébergement ne vous propose pas cette option (cochez la liste des fournisseurs qui l’offrent), vous pouvez l’installer vous-même. Il existe également un certificat SSL Let's Encrypt avec ou sans accès Shell à votre serveur.

2
Billal Begueradj