Le 20 avril 2017 à 15:54, Yoan Agostini yoan.agostini@gmail.com a écrit :
Bonjour,
Salut,
Autant le dire, ça vient de me retrancher quelques heures à ma vie pour régénérer les certificats de nos sites internes. Surtout qu'openssl ne rend pas franchement aisé l'ajout de cette extension si votre autorité de certification ne crée pas l'extension pour vous : [...]
Il y a plus simple (AMHA), tout mettre dans un fichier .cnf : https://gist.github.com/jleroy/571c55fc9c9c6469da3c32496e9092b2
Ensuite il suffit de générer la clé : openssl genrsa -out www.example.com.key 2048 ...puis le certificat : openssl req -nodes -new -sha256 -key www.example.com.key -out www.example.com.csr -config openssl.cnf
Ce changement fait suite à la volonté de l'équipe de développement de se conformer au RFC 2818 (datant de 2000) qui indique que la vérification de l'identité du serveur via le CN est obsolète et qu'elle doit se faire sur dNSName de l'extension SAN. Personnellement, je trouve cette préconisation bien pourrie puisque dans le cas d'un nom unique, le CN suffit largement, mais bon...
Le problème c'est que comme les CA ne sont pas capables d'appliquer les bonnes pratiques tout seuls, les browsers sont obligés de leur forcer la main...
Sinon : il y a probablement < 100 personnes sur terre capables de gérer convenablement une CA. Franchement, si tu peux, il est vraiment conseillé de passer sur Let's Encrypt.