Voici les options décrites dans la réponse de @diegows , décrite plus en détail, de la documentation :

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

req

PKCS#10 de la demande de certificat et certificat de la génération de l'utilitaire.

-x509

cette option affiche un certificat auto-signé au lieu d'une demande de certificat. Il est généralement utilisé pour générer un certificat d'essai ou une auto-signé autorité de certification racine.

-newkey arg

cette option crée une nouvelle demande de certificat et une clé privée. Argument prend plusieurs formes. rsa:nbits , où nbits est le nombre de bits, génère une clé RSA nbits de taille.

-keyout filename

donne le nom du fichier pour écrire la clé privée nouvellement créée.

-out filename

spécifie le nom du fichier de sortie à écrire ou la sortie standard par défaut.

-days n

lorsque l'option - x509 est utilisée cette option spécifie le nombre de jours pour certifier le certificat. La valeur par défaut est de 30 jours.

-nodes

si cette option est spécifiée, alors si une clé privée est créée, elle ne sera pas crypté.

la documentation est en fait, plus détaillé que ce qui précède, je viens de le résumer ici.

la commande suivante répond à tous vos besoins:

openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout example.key -out example.crt -subj "/CN=example.com" -days 3650

Il crée un certificat pour le domaine example.com qui est

• relativement forte (à partir de 2018) et
• valable pour 3650 jours (~10 ans).

il crée les fichiers suivants:

• clé privée: example.key
• certificat: example.crt

comme toutes les informations sont fournies en ligne de commande, il n'y a pas d'entrée interactive gênante. En outre, toutes les étapes nécessaires sont exécutées par cette seule invocation OpenSSL: de la génération de clés privées jusqu'au certificat auto-signé.

comme le certificat est auto-signé et doit être accepté par les utilisateurs manuellement, il n'est pas logique d'utiliser une courte expiration ou une faible cryptographie.

dans le futur, vous pourrait vouloir utiliser plus de 4096 bits pour la clé RSA et un algorithme de hachage plus fort que sha256 , mais à partir de 2018 ce sont des valeurs saines. Ils sont suffisamment forts tout en étant pris en charge par tous les navigateurs modernes.

Remarque: théoriquement, vous pouvez laisser de côté le paramètre -nodes (qui signifie" pas de cryptage DES"), auquel cas example.key serait crypté avec un mot de passe. Cependant, ce n'est presque jamais utile pour un installation du serveur, parce que vous auriez à stocker le mot de passe sur le serveur aussi bien, ou vous auriez à l'entrer manuellement à chaque redémarrage.

Je ne peux pas commenter, donc je vais mettre ceci comme une réponse séparée. J'ai trouvé quelques problèmes avec la réponse acceptée d'une seule doublure:

• Le one-liner comprend un mot de passe de la clé.
• le One-liner utilise SHA1 qui, dans de nombreux navigateurs, lance des avertissements dans la console.

Voici une version simplifiée qui supprime la phrase de passe, augmente la sécurité pour supprimer les avertissements et inclut une suggestion dans les commentaires pour passer en -subj pour enlever la pleine liste de question:

openssl genrsa -out server.key 2048
openssl rsa -in server.key -out server.key
openssl req -sha256 -new -key server.key -out server.csr -subj '/CN=localhost'
openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt

remplacer "localhost" par n'importe quel domaine dont vous avez besoin. Vous devrez exécuter les deux premières commandes une par une Car openssl demandera une phrase de passe.

pour combiner les deux en un .fichier pem:

cat server.crt server.key > cert.pem

je recommande d'ajouter - sha256 paramètre, pour utiliser l'algorithme de hachage SHA-2, parce que les principaux navigateurs envisagent de montrer" certificats SHA-1 " comme non sécurisé.

la même ligne de commande de la réponse acceptée - @diegows avec ajouté-sha256

openssl req-x509 - sha256 - newkey rsa:2048-keyout key.PEM-out cert.PEM-days XXX

plus info dans Google blog sur la Sécurité .

Mise À Jour Mai 2018. comme beaucoup ont noté dans les commentaires que L'utilisation de SHA-2 n'ajoute aucune sécurité au certificat auto-signé. Mais je recommande toujours de l'utiliser comme une bonne habitude de ne pas utiliser les fonctions de hachage cryptographique périmées / non sécurisées. Une explication complète est disponible dans: https://security.stackexchange.com/questions/91913/why-is-it-fine-for-certificates-above-the-end-entity-certificate-to-be-sha1-base

les navigateurs modernes émettent maintenant une erreur de sécurité pour des certificats auto-signés par ailleurs bien formés s'il leur manque un SAN (sujet Alternate Name). OpenSSL ne fournit pas de méthode en ligne de commande pour spécifier ce , de sorte que de nombreux tutoriels et signets de développeurs sont soudainement dépassés.

le moyen le plus rapide pour redémarrer est un fichier de conf court et autonome:

1. Créer un fichier de configuration OpenSSL (exemple: req.cnf )

   [req]
   distinguished_name = req_distinguished_name
   x509_extensions = v3_req
   prompt = no
   [req_distinguished_name]
   C = US
   ST = VA
   L = SomeCity
   O = MyCompany
   OU = MyDivision
   CN = www.company.com
   [v3_req]
   keyUsage = critical, digitalSignature, keyAgreement
   extendedKeyUsage = serverAuth
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 = www.company.com
   DNS.2 = company.com
   DNS.3 = company.net
   

2. créer le certificat référençant ce fichier de configuration

   openssl req -x509 -nodes -days 730 -newkey rsa:2048 \
    -keyout cert.key -out cert.pem -config req.cnf -sha256
   

exemple de configuration de https://support.citrix.com/article/CTX135602

c'est le script que j'utilise sur les boîtes locales pour définir le SAN (subjectAltName) dans les certificats auto-signés.

ce script prend le nom de domaine (example.com) et génère le SAN pour *.example.com et example.com dans le même certificat. Les sections ci-dessous sont commentées. Nommez le script (par exemple generate-ssl.sh ) et donnez-lui les permissions exécutables. Les fichiers seront écrites dans le même répertoire que le script.

Chrome 58 une revente exige Les SAN doivent être établis dans des certificats auto-signés.

#!/usr/bin/env bash

# Set the TLD domain we want to use
BASE_DOMAIN="example.com"

# Days for the cert to live
DAYS=1095

# A blank passphrase
PASSPHRASE=""

# Generated configuration file
CONFIG_FILE="config.txt"

cat > $CONFIG_FILE <<-EOF
[req]
default_bits = 2048
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn

[dn]
C = CA
ST = BC
L = Vancouver
O = Example Corp
OU = Testing Domain
emailAddress = webmaster@$BASE_DOMAIN
CN = $BASE_DOMAIN

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.$BASE_DOMAIN
DNS.2 = $BASE_DOMAIN
EOF

# The file name can be anything
FILE_NAME="$BASE_DOMAIN"

# Remove previous keys
echo "Removing existing certs like $FILE_NAME.*"
chmod 770 $FILE_NAME.*
rm $FILE_NAME.*

echo "Generating certs for $BASE_DOMAIN"

# Generate our Private Key, CSR and Certificate
# Use SHA-2 as SHA-1 is unsupported from Jan 1, 2017

openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "$FILE_NAME.key" -days $DAYS -out "$FILE_NAME.crt" -passin pass:$PASSPHRASE -config "$CONFIG_FILE"

# OPTIONAL - write an info to see the details of the generated crt
openssl x509 -noout -fingerprint -text < "$FILE_NAME.crt" > "$FILE_NAME.info"

# Protect the key
chmod 400 "$FILE_NAME.key"

ce script écrit aussi un fichier info pour que vous puissiez inspecter le nouveau certificat et vérifier que le SAN est correctement défini.

                ...
                28:dd:b8:1e:34:b5:b1:44:1a:60:6d:e3:3c:5a:c4:
                da:3d
            Exponent: 65537 (0x10001)
    X509v3 extensions:
        X509v3 Subject Alternative Name: 
            DNS:*.example.com, DNS:example.com
Signature Algorithm: sha256WithRSAEncryption
     3b:35:5a:d6:9e:92:4f:fc:f4:f4:87:78:cd:c7:8d:cd:8c:cc:
     ...

si vous utilisez Apache, alors vous pouvez référencer le cert ci-dessus dans votre fichier de configuration comme suit:

<VirtualHost _default_:443>
    ServerName example.com
    ServerAlias www.example.com
    DocumentRoot /var/www/htdocs

    SSLEngine on
    SSLCertificateFile path/to/your/example.com.crt
    SSLCertificateKeyFile path/to/your/example.com.key
</VirtualHost>

n'oubliez pas de redémarrer votre serveur Apache (ou Nginx, ou IIS) pour que le nouveau cert prenne effet.

2017 un liner:

openssl req \
-newkey rsa:2048 \
-x509 \
-nodes \
-keyout server.pem \
-new \
-out server.pem \
-subj /CN=localhost \
-reqexts SAN \
-extensions SAN \
-config <(cat /System/Library/OpenSSL/openssl.cnf \
    <(printf '[SAN]\nsubjectAltName=DNS:localhost')) \
-sha256 \
-days 3650

cela fonctionne aussi dans Chrome 57, car il fournit le SAN, sans avoir un autre fichier de configuration. Extrait d'une réponse ici . Cela crée un seul .pem fichier qui contient la clé privée et cert. Vous pouvez les déplacer pour les séparer .fichiers pem si nécessaire.

, Vous avez la procédure générale correcte. La syntaxe de la commande est ci-dessous.

openssl req -new -key {private key file} -out {output file}

cependant, les avertissements sont affichés parce que le navigateur n'a pas été en mesure de vérifier l'identité en validant le certificat avec une autorité de Certification (AC) connue.

comme il s'agit d'un certificat auto-signé, il n'y a pas D'AC et vous pouvez ignorer l'avertissement en toute sécurité et poursuivre. Si vous souhaitez obtenir une véritable cert qui sera reconnaissable par quiconque sur le internet public alors la procédure est ci-dessous.

1. générer une clé privée
2. utiliser cette clé privée pour créer un fichier CSR
3. Soumettre à la RSE pour CA (Verisign ou autres etc)
4. Installer reçu cert de CA sur le serveur web
5. ajouter d'autres certs à la chaîne d'authentification en fonction du type cert

j'ai plus de détails à ce sujet dans un post à https://bigthinkingapplied.com/secure-the-connection-installing-certificates-on-3-common-web-servers /

One liner FTW. J'aime garder les choses simples. Pourquoi ne pas utiliser une commande qui contient TOUS les arguments nécessaires? C'est comme ça que je l'aime - cela crée un certificat x509 et c'est la clé PEM:

openssl req -x509 \
 -nodes -days 365 -newkey rsa:4096 \
 -keyout self.key.pem \
 -out self-x509.crt \
 -subj "/C=US/ST=WA/L=Seattle/CN=example.com/emailAddress=someEmail@gmail.com" 

cette commande unique contient toutes les réponses que vous fourniriez normalement pour les détails du certificat. De cette façon, vous pouvez définir les paramètres et exécuter la commande, obtenir votre sortie - puis aller prendre un café.

> > plus ici < <

générer des clés

j'utilise /etc/mysql pour le stockage cert car /etc/apparmor.d/usr.sbin.mysqld contient /etc/mysql/*.pem r .

sudo su -
cd /etc/mysql
openssl genrsa -out ca-key.pem 2048;
openssl req -new -x509 -nodes -days 1000 -key ca-key.pem -out ca-cert.pem;
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem -out server-req.pem;
openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem;
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem -out client-req.pem;
openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem;

ajouter configuration

/etc/mysql/my.cnf

[client]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/client-cert.pem
ssl-key=/etc/mysql/client-key.pem

[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

sur mon setup, serveur ubuntu connecté à: /var/log/mysql/error.log

notes de suivi:

• SSL error: Unable to get certificate from '...'

  Mysql pourrait se voir refuser l'accès en lecture à votre fichier cert s'il n'est pas dans la configuration de apparmors . Comme mentionné dans les étapes précédentes^, Enregistrez tous nos certs sous la forme de fichiers .pem dans le répertoire /etc/mysql/ qui est approuvé par défaut par apparmor (ou modifiez votre apparmor/SELinux pour permettre l'accès à l'endroit où vous les avez stockés.)

• SSL error: Unable to get private key

  votre version de serveur mysql ne supporte pas le format par défaut rsa:2048 .

  Secret généré rsa:2048 de plaine rsa :

  openssl rsa -in server-key.pem -out server-key.pem
  openssl rsa -in client-key.pem -out client-key.pem
  

• vérifiez si le serveur local supporte ssl :

  mysql -u root -p
  mysql> show variables like "%ssl%"; 
  +---------------+----------------------------+
  | Variable_name | Value                      |
  +---------------+----------------------------+
  | have_openssl  | YES                        |
  | have_ssl      | YES                        |
  | ssl_ca        | /etc/mysql/ca-cert.pem     |
  | ssl_capath    |                            |
  | ssl_cert      | /etc/mysql/server-cert.pem |
  | ssl_cipher    |                            |
  | ssl_key       | /etc/mysql/server-key.pem  |
  +---------------+----------------------------+
  

• vérifier une connexion à la db est crypté ssl :

  vérifier la connexion

  une fois connecté à L'instance MySQL, vous pouvez lancer la requête:

  show status like 'Ssl_cipher'; 
  

  si votre connexion n'est pas cryptée, le résultat sera blanc:

  mysql> show status like 'Ssl_cipher'; 
  +---------------+-------+ 
  | Variable_name | Value | 
  +---------------+-------+ 
  | Ssl_cipher    |       |  
  +---------------+-------+ 
  1 row in set (0.00 sec) 
  

  sinon, il afficherait une chaîne de longueur non nulle pour le code utilisé:

  mysql> show status like 'Ssl_cipher'; 
  +---------------+--------------------+ 
  | Variable_name | Value              | 
  +---------------+--------------------+ 
  | Ssl_cipher    | DHE-RSA-AES256-SHA |  
  +---------------+--------------------+ 
  1 row in set (0.00 sec) 
  

• Exiger le protocole ssl pour l'utilisateur de connexion ('exiger ssl'):

  • SSL

  dit au serveur de n'autoriser que les connexions cryptées par SSL pour le compte.

  GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost'
    REQUIRE SSL;
  

  pour se connecter, le client doit spécifier l'option --ssl-ca pour authentifier le certificat du serveur, et peut également spécifier les options --ssl-key et --ssl-cert. Si ni -l'option-ssl-ca ou --ssl-capath n'est pas spécifiée, le client n'authentifie pas le certificat du serveur.

lien alternatif: long tutoriel ici http://www.madirish.net/214

oneliner v2017:

centos:

openssl req -x509 -nodes -sha256 -newkey rsa:2048 \
-keyout localhost.key -out localhost.crt \
-days 3650 \
-subj "CN=localhost" \
-reqexts SAN -extensions SAN \
-config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=IP:127.0.0.1,DNS:localhost"))

ubuntu:

openssl req -x509 -nodes -sha256 -newkey rsa:2048 \
-keyout localhost.key -out localhost.crt \
-days 3650 \
-subj "CN=localhost" \
-reqexts SAN -extensions SAN \
-config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=IP:127.0.0.1,DNS:localhost"))