Jak ponownie wystawić certyfikat OpenSSL snakeoil cert?

15

W świetle niedawnego fiasku serca i tego, co ja, starałem się podnieść bezpieczeństwo na niektórych serwerach. Moje pytanie brzmi: jak ponownie wystawić certyfikat Snakeoil, który jest dostarczany z openssl?

Certyfikat, którego obecnie używa, został wydany w 2012 r., Więc wyraźnie przed tym incydentem. Wygląda więc na to, że protokół tutaj polega na ponownym wystawieniu wszystkich certyfikatów i nie mogę znaleźć informacji, jak to zrobić dla Snakeoil.

Jestem jedynym, który używa tego certyfikatu dla PHPmyadmin, więc czy muszę go nawet aktualizować?

openssh foochow
źródło
2
Wiesz, dlaczego nazywa się „olej węża”? Klucze są takie same we wszystkich instalacjach - więc naprawdę nie trzeba ich teraz odtwarzać . W każdym razie: tworzenie nowych to dobry pomysł ™.
guntbert
Mój los jakoś się zepsuł. Nie wiem ani nie obchodzi mnie, jak działają certyfikaty SSL. Chciałem tylko, żeby mój Postgres zaczął.
sudo
1
Nie są takie same, są wydawane na nazwę hosta.
Wstrzymano do odwołania.

Odpowiedzi:

17

Możesz użyć tego jednowierszowego do regeneracji obu plików w jednym ujęciu. Musisz ponownie uruchomić Apache po ponownym utworzeniu certyfikatu.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Jeśli w ogóle martwisz się bezpieczeństwem (i powinieneś być), powinieneś zregenerować certyfikaty na wszystkich krytycznych serwerach, których dotyczy problem, a następnie wyczerpać ponownie usługę lub restart systemu.

Jeśli po prostu korzystasz z odtwarzacza w sieci LAN, to jedno, ale wszystko, co masz w Internecie, zdecydowanie powinieneś wznowić.

jkt123
źródło
Wspaniale, dziękuje. Przejdę do reissing, miło jest zobaczyć jedną wkładkę.
foochow
1
Ponieważ jest to stare pytanie, ale zostało ponownie podniesione: dzisiaj mamy Let's Encrypt, który zapewnia bezpłatne, automatyczne certyfikaty. Nie ma powodu, aby go nie używać, jeśli urządzenie komunikuje się za pośrednictwem publicznego Internetu.
vidarlo,
Świetnie, naprawiłem to dla mnie. Postgres miał z tym problemy.
sudo
1

Tutaj znalazłem, że jest to polecenie:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
źródło