¿Cómo vuelvo a emitir el certificado OpenSSL snakeoil?

15

A la luz del reciente fiasco desangrado y demás, yo también he estado luchando para aumentar la seguridad en algunos servidores. Mi pregunta es ¿cómo vuelvo a emitir el certificado Snakeoil que viene con Openssl?

El certificado que está utilizando actualmente se emitió en 2012, tan claramente antes de este incidente. Parece que el protocolo aquí es volver a emitir todos los certificados y no puedo encontrar información sobre cómo hacerlo para snakeoil.

Soy el único que usa ese certificado, para PHPmyadmin, entonces, ¿necesito actualizarlo?

foochow
fuente
2
¿Sabes por qué se llama "aceite de serpiente"? Las claves son las mismas en todas las instalaciones, por lo que realmente no hay necesidad de recrearlas ahora . De todos modos: crear nuevos es una buena idea ™.
guntbert
La mía se rompió al azar de alguna manera. No sé ni me importa cómo funcionan los certificados SSL. Solo quería que mi Postgres comenzara.
sudo
1
No son lo mismo, se emiten al nombre de host.
Pausado hasta nuevo aviso.

Respuestas:

17

Puede usar este one-liner para regenerar ambos archivos de una sola vez. Deberá reiniciar Apache después de que el certificado se haya vuelto a crear.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Si le preocupa la seguridad (y debería estarlo), debe regenerar los certificados en todos los servidores críticos afectados, seguido de un reinicio exhaustivo del servicio o un reinicio del sistema.

Si solo está ejecutando un cuadro de juego en su LAN, eso es una cosa, pero cualquier cosa que tenga en Internet definitivamente debe volver a emitir.

jkt123
fuente
Excelente, gracias. Llegará a la reemisión, agradable ver un trazador de líneas.
foochow
1
Como esta es una vieja pregunta, pero se ha vuelto a plantear: hoy tenemos el cifrado Let's, que proporciona certificados gratuitos y automatizados. No hay razón para no usarlo, si la caja se está comunicando a través de Internet público.
vidarlo
Impresionante, lo arregló para mí. Postgres estaba teniendo problemas con eso.
sudo
1

Aquí encontré que existe este comando:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
fuente