Como reemitir o certificado OpenSSL snakeoil?

15

À luz do recente fiasco de coração partido e outros enfeites, eu também tenho lutado para aumentar a segurança em alguns servidores. Minha pergunta é como reemitir o certificado Snakeoil que acompanha o Openssl?

O certificado que está sendo usado no momento foi emitido em 2012, tão claramente antes desse incidente. Parece que o protocolo aqui é reemitir todos os documentos e não consigo encontrar informações sobre como fazê-lo para o óleo de cobra.

Eu sou o único que usa esse certificado, para PHPmyadmin, então eu preciso atualizá-lo?

foochow
fonte
2
Você sabe por que é chamado "óleo de cobra"? As chaves são as mesmas em todas as instalações - portanto, não há necessidade de recriá-las agora . Enfim: criar novos é uma boa idéia ™.
guntbert
Mina quebrou aleatoriamente de alguma forma. Não sei nem me importo como o certificado SSL funciona. Só queria que meu Postgres iniciasse.
Sudo
1
Eles não são os mesmos, são emitidos para o nome do host.
Pausado até novo aviso.

Respostas:

17

Você pode usar essa linha única para regenerar os dois arquivos de uma só vez. Você precisará reiniciar o Apache após a recriação do certificado.

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/ssl-cert-snakeoil.key -out /etc/ssl/certs/ssl-cert-snakeoil.pem

Se você está preocupado com a segurança (e deveria estar), deve gerar novamente os certificados em todos os servidores críticos afetados, seguidos por uma reinicialização exaustiva do serviço ou uma reinicialização do sistema.

Se você está apenas executando um play-around box na sua LAN, isso é uma coisa, mas tudo o que você tem na internet deve definitivamente reeditar.

jkt123
fonte
Excelente, obrigado. Vai chegar ao reissing, bom ver um forro.
Foochow
1
Como essa é uma pergunta antiga, mas foi levantada novamente: hoje temos o Let's criptografar, que fornece certificados automatizados e gratuitos. Não há razão para não usá-lo, se a caixa estiver se comunicando pela Internet pública.
Vidarlo 18/08/19
Incrível, consertou para mim. O Postgres estava tendo problemas com isso.
Sudo
1

Aqui eu descobri que existe este comando:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Tomeg
fonte