2 votes

Donniel Thomas avatar

Quel mot de passe le serveur OSX utilise-t-il lors de l'importation de certificats SSL ?

Demandé el 14 de Mai, 2014
Quand la question a-t-elle été
1703 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de migrer mon site web de mon serveur OSX personnel vers un serveur Linux virtuel, hébergé dans un centre de données approprié, et j'ai un problème avec les certificats SSL que j'ai importés dans le serveur OSX.

Il semble qu'il ait stocké les certificats dans /etc/certificates mais je ne connais pas la phrase d'authentification qu'il a utilisée pour crypter le fichier clé. Ce n'est pas le mot de passe habituel de mon compte/chaîne de clés, donc je n'ai aucune idée de la phrase de passe qu'il a choisie, ou que j'ai choisie, à ce moment-là.

(J'ai essayé d'obtenir les certificats SSL d'origine, mais cela ne s'est pas avéré facile non plus, mais c'est peut-être mon seul espoir).

Quelqu'un pourrait-il me dire comment cela fonctionne pour que je puisse me démêler moi-même et utiliser les certificats sur le nouveau site web, s'il vous plaît ?

Demandé el 14 de Mai, 2014 par Donniel Thomas

Réponses

Trop de publicités?

4voto

Gordon Davisson avatar
Gordon Davisson Points 30215

Il semble que le problème de l'OP ait été résolu, mais pour mémoire, il est en fait assez facile de récupérer les clés du serveur OS X, à condition d'avoir un accès administrateur au serveur. Je vais vous donner deux façons de procéder :

  1. Lancez l'utilitaire Keychain Access sur le serveur, sélectionnez "System" dans la liste Keychains, puis "My Certificates" dans la liste Category qui se trouve en dessous. Sélectionnez le certificat concerné dans la partie droite de la fenêtre, puis, dans le menu Fichier, choisissez "Exporter les éléments". Dans la boîte de dialogue d'exportation, assurez-vous que le format de fichier est défini sur "Personal Information Exchange (.p12)" pour exporter à la fois la clé privée et le certificat (public). Il vous demandera votre nom d'administrateur et votre mot de passe pour accéder au trousseau, puis un nouveau mot de passe pour crypter le fichier exporté.

  2. Le certificat et la clé privée associée sont également stockés (comme vous l'avez dit) dans /etc/certificates. Assurez-vous d'obtenir à la fois le certificat (dont le nom de fichier se termine par ".cert.pem") et la clé privée correspondante (".key.pem") ; vous pourriez également avoir besoin de la chaîne de certificats (".chain.pem"), qui comprend votre certificat et les certificats de soutien qui attestent de son authenticité.

    Le fichier de la clé privée sera crypté à l'aide d'un mot de passe généré de manière aléatoire. Pas de problème ; pour que les services du serveur puissent utiliser cette clé, son mot de passe est stocké (dans le trousseau de clés du système, en fait) sous une forme récupérable. Avec des droits d'administrateur, vous pouvez le récupérer de la même manière que le serveur web. Utilisez cette commande (en remplaçant server.example.com par le nom de domaine actuel) :

    sudo /Library/Server/Web/Config/apache2/getsslpassphrase server.example.com:443 RSA

    Il vous demandera votre mot de passe d'administrateur, puis vous donnera ce qui ressemble à un GUID. Il s'agit du mot de passe de cryptage pour le fichier .key.pem.

    (Remarque : dans les versions plus anciennes d'OS X Server, getsslpassphrase se trouvait dans /etc/apache2/ au lieu de /Library/Server/Web/Config/apache2/. Ajustez si nécessaire).

Répondu el 16 de Mai, 2014 par Gordon Davisson (30215 Points )

2voto

Jose Chavez avatar
Jose Chavez Points 645

Le "certificat" lui-même n'est pas crypté. Votre clé privée, qui est utilisée avec le certificat, est généralement cryptée. Elle est cryptée avec la phrase de passe que vous avez choisie lors de la création de la clé privée. Il se peut que vous l'ayez fait un peu avant de créer ce certificat spécifique, si vous avez plusieurs certificats - assurez-vous donc d'essayer les "anciens mots de passe" si vous en avez.

Si vous ne vous souvenez pas de la phrase de passe de votre clé privée, vous n'avez pas de chance. Vous ne pourrez plus utiliser ce certificat spécifique. L'émetteur du certificat ne pourra pas vous fournir une copie de la clé privée, car il ne l'a pas.

En général, vous pourrez révoquer votre certificat existant et demander à votre émetteur de vous en fournir un nouveau - selon votre émetteur, cela peut être payant.

Étant donné que vous pouvez acheter de nouveaux certificats SSL pour moins de 10 $ aujourd'hui, cela ne vaut peut-être pas la peine d'essayer de faire fonctionner l'ancien certificat. Il suffit d'en acheter un nouveau.

Répondu el 14 de Mai, 2014 par Jose Chavez (645 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X