openssl genrsa -out ca.key 4096openssl req -new -x509 -key ca.key -out ca.crtopenssl genrsa -out nom_machine.key 4096openssl rsa -in example.org.key -pubout -out nom_machine.pubkeyopenssl req -new -key nom_machine.key -out nom_machine.csrCréer et signer le certificat pour la machine : openssl x509 -req -in nom_machine.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out nom_machine.crt
ssl_certificate /chemin/vers/certificat/machine;
ssl_certificate_key /chemin/vers/cle/certificat/machine;
ssl_trusted_certificate /chemin/vers/certificat/autorité;
service nginx reloadcp ancienCA.crt ancienCA.crt.oldopenssl req -new -key cléCA.key -out newCA.csrIl faut utiliser la même clé privée que l'ancien certificat.
Attention : configurer le fichier de réponse comme l'ancien certificat (exactement les mêmes réponses aux questions suivantes). Si cela n'est pas respecté, alors le certificat ne sera pas considéré comme un certificat de confiance.
openssl x509 -req -days 365 -in newCA.csr -signkey cléCA.key -out newCA.crtopenssl verify -CAfile newCA.crt -verbose certificatServeurDejaExistant.crt