107 votes

dantef71 avatar

Que sont les fichiers .crt et .key et comment les générer ?

Demandé el 19 de Janvier, 2011
Quand la question a-t-elle été
347171 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai la configuration suivante :

SSLEngine on
SSLCertificateFile /etc/httpd/conf/login.domain.com.crt
SSLCertificateKeyFile /etc/httpd/conf/login.domain.com.key
SSLCipherSuite ALL:-ADH:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

mais je ne sais pas comment générer .crt y .key des fichiers.

Demandé el 19 de Janvier, 2011 par dantef71

Réponses

Trop de publicités?

112voto

lynxman avatar
lynxman Points 8999

crt et les fichiers key représentent les deux parties d'un certificat, key étant la clé privée du certificat et crt étant le certificat signé.

Ce n'est qu'une des façons de générer des certitudes, une autre façon serait d'avoir les deux dans un fichier pem ou un autre dans un conteneur p12.

Vous avez plusieurs façons de générer ces fichiers, si vous voulez auto-signer le certificat, vous pouvez simplement utiliser cette commande

openssl genrsa 2048 > host.key
chmod 400 host.key
openssl req -new -x509 -nodes -sha256 -days 365 -key host.key -out host.cert

Notez qu'avec les certificats auto-signés, votre navigateur vous avertira que le certificat n'est pas "fiable" car il n'a pas été signé par une autorité de certification figurant dans la liste de confiance de votre navigateur.

À partir de là, vous pouvez soit générer votre propre chaîne de confiance en créant votre CA, soit acheter un certificat auprès d'une société comme Verisign ou Thawte.

Répondu el 19 de Janvier, 2011 par lynxman (8999 Points )

0 votes

Avatar de dantef71

Après avoir exécuté "openssl genrsa 1024 > host.key" j'ai obtenu ceci dans le terminal : "e est 65537 (0x10001)" est-ce une erreur ?

Commenté el 19 de Janvier, 2011 par dantef71

1 votes

Avatar de lynxman

Oui, cela signifie que openssl ne peut pas écrire la graine aléatoire dans le fichier par défaut qu'il utilise et qui est défini par openssl.cnf, par défaut dans CentOS/RHEL ce fichier est dans /etc/pki/tls/openssl.cnf. Essayez d'exécuter les mêmes commandes en tant que root dans ce cas et voyez comment cela se passe.

Commenté el 19 de Janvier, 2011 par lynxman

0 votes

Avatar de dantef71

J'ai essayé en tant que root, mais j'ai encore obtenu "e is 65537 (0x10001)".

Commenté el 19 de Janvier, 2011 par dantef71
Afficher 8 autres commentaires

17voto

Volker Stolz avatar
Volker Stolz Points 396

Il s'agit des parties publique (.crt) et privée (.key) d'un certificat SSL. Voir cette question pour une pléthore d'informations pertinentes, par exemple si vous souhaitez générer vous-même un certificat ou en acheter un.

Répondu el 19 de Janvier, 2011 par Volker Stolz (396 Points )

0 votes

Avatar de Nathan Basanese

Question basique mais je suppose que je dois copier le fichier .key dans mon ~/.ssh lorsque je télécharge mon fichier CSR vers mon fournisseur ssl ?

Commenté el 6 de Janvier, 2017 par Nathan Basanese

1 votes

Avatar de Volker Stolz

@Qasim Les fichiers SSL n'ont rien à voir avec SSH (auquel appartient le dossier .ssh).

Commenté el 7 de Février, 2017 par Volker Stolz

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X