Wie kann ich OpenSSL snakeoil cert erneut ausstellen?

15

In Anbetracht des jüngsten Misserfolgs und auch ich habe mich bemüht, die Sicherheit auf einigen Servern zu erhöhen. Meine Frage ist, wie ich das mit Openssl gelieferte Snakeoil-Zertifikat neu ausstelle.

Das Zertifikat, das es derzeit verwendet, wurde 2012 ausgestellt, also deutlich vor diesem Vorfall. Es sieht also so aus, als ob das Protokoll darin besteht, alle Zertifikate neu auszustellen, und ich kann keine Informationen darüber finden, wie dies für Schlangenöl gemacht wird.

Ich bin der einzige, der dieses Zertifikat für PHPmyadmin verwendet. Muss ich es also überhaupt aktualisieren?

openssh foochow
quelle
2
Sie wissen, warum es "Schlangenöl" heißt? Die Schlüssel sind bei allen Installationen gleich - es ist also nicht erforderlich, sie jetzt neu zu erstellen . Jedenfalls ist das Erstellen neuer Ideen eine gute Idee.
guntbert
Meiner ist irgendwie zufällig kaputt gegangen. Es ist mir egal, wie SSL-Zertifikate funktionieren. Ich wollte nur, dass meine Postgres anfangen.
Sudo
1
Sie sind nicht gleich, sondern werden auf den Hostnamen ausgestellt.
Bis auf weiteres angehalten.

Antworten:

17

Mit diesem Einzeiler können Sie beide Dateien in einem Durchgang neu generieren. Sie müssen Apache neu starten, nachdem das Zertifikat neu erstellt wurde.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Wenn Sie Sicherheitsbedenken haben (und dies sollten Sie auch sein), sollten Sie Zertifikate auf allen betroffenen kritischen Servern neu generieren, gefolgt von einem umfassenden Neustart des Dienstes oder einem Neustart des Systems.

Wenn Sie nur eine Play-Around-Box in Ihrem LAN betreiben, ist das eine Sache, aber alles, was Sie im Internet haben, sollten Sie auf jeden Fall neu ausstellen.

jkt123
quelle
Großartig, danke. Werde zum reissing kommen, schön einen Einzeiler zu sehen.
Foochow
1
Da dies eine alte Frage ist, die aber wieder aufgeworfen wurde: Heute haben wir Let's Encrypt, das kostenlose, automatisierte Zertifikate bereitstellt. Es gibt keinen Grund, es nicht zu verwenden, wenn die Box über das öffentliche Internet kommuniziert.
Vidarlo
Genial, für mich repariert. Postgres hatte Probleme damit.
Sudo
1

Hier habe ich festgestellt, dass es diesen Befehl gibt:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
quelle