Come posso rilasciare nuovamente il certificato snakeoil OpenSSL?

15

Alla luce del recente sincero fiasco e quant'altro anch'io ho cercato di aumentare la sicurezza su alcuni server. La mia domanda è: come posso riemettere il certificato Snakeoil fornito con Openssl?

Il certificato che sta attualmente utilizzando è stato emesso nel 2012, quindi chiaramente prima di questo incidente. Quindi sembra che il protocollo qui sia di riemettere tutte le licenze e non riesco a trovare informazioni su come farlo per il serpente.

Sono l'unico che usa quel certificato, per PHPmyadmin, quindi devo anche aggiornarlo?

openssh 
Foochow
fonte
2
Sai perché si chiama "olio di serpente"? Le chiavi sono le stesse su tutte le installazioni, quindi non è necessario ricrearle ora . Comunque: crearne di nuovi è una buona idea ™.
Guntbert,
Il mio si è rotto casualmente in qualche modo. Non so né mi interessa come funzionano i certificati SSL. Volevo solo che i miei Postgres iniziassero.
sudo,
1
Non sono gli stessi, vengono assegnati al nome host.
In pausa fino a ulteriore avviso.

Risposte:

17

È possibile utilizzare questo one-liner per rigenerare entrambi i file in un colpo solo. Dovrai riavviare Apache dopo che il certificato è stato ricreato.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Se sei preoccupato per la sicurezza (e dovresti esserlo), dovresti rigenerare i certificati su tutti i server critici interessati, seguito da un riavvio completo del servizio o da un riavvio del sistema.

Se stai semplicemente eseguendo un play-around box sulla tua LAN è una cosa, ma qualsiasi cosa tu abbia su Internet dovresti assolutamente riemettere.

jkt123
fonte
Eccellente grazie. Arriverà alla ristampa, bello vedere una fodera.
febbraio
1
Poiché questa è una vecchia domanda, ma è stata sollevata di nuovo: oggi abbiamo Let's encrypt, che fornisce certificati automatici gratuiti. Non c'è motivo di non usarlo, se la scatola comunica su Internet pubblico.
vidarlo,
Fantastico, riparato per me. Postgres stava avendo problemi con esso.
sudo,
1

Qui ho scoperto che esiste questo comando:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.