OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques et une interface en ligne de commande¹⁾.

Ce genre de certificat doit être seulement utilisé pour le développement ou pour des tests, jamais pour des environnements de production.

Voir si OpenSSL est installé:

$ which openssl
/usr/bin/openssl

Créer le certificat:

$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

$ openssl rsa -in key.pem -out newkey.pem && mv newkey.pem key.pem

Si on suppose avoir créé un certificat auto-signé, comme ci-haut, on peut générer un fichier PFX avec cette commande :

$ openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in cert.pem

OpenSSL est peut-être à une vieille version sur Ubuntu (1.0.1f sur 14.04 et 1.0.2g sur 16.04). La méthode apt-get upgrade openssl ne fonctionne pas, on aura 0 paquet de mis à jour.

Sur le site https://openssl.org voir quel paquetage tar est présent. Au moment d'écrire ces lignes il s'agissait de https://www.openssl.org/source/openssl-1.0.2l.tar.gz. Modifier l'URL en conséquence selon la version courante d'OpenSSL.

$ curl https://www.openssl.org/source/openssl-1.0.2l.tar.gz | tar xz
$ cd openssl-1.0.2l
$ sudo ./config
$ sudo make
$ sudo make install

Remplacer l'ancien exécutable d'OpenSSL par le nouveau avec un lien symbolique:

$ sudo sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

https://superuser.com/questions/740930/apt-get-upgrade-openssl-wont-bring-ubuntu-12-04-to-latest-version

Ces instructions sont pour générer un CSR pour un certificat SSL wildcard.

openssl genrsa –des3 –out mydomain.com.key 2048

Dans Common name, il faut mettre une étoile (*) pour le sous-domaine du domaine, exemple *.mydomain.com.

openssl req –new –key mydomain.com.key –out mydomain.com.csr