View page as slide show

Certificate Authority (Autoridad de Certificación)

Pues bíen, aún sabiendo que en locolandia somos gente de confianza y esas cosas, … y podríamos crear nuestra propia CA, siguiendo lo que Jeremy Mates no cuenta en su web http://sial.org/howto/openssl/ca/ . Hemos pensado, que para evitar falsificaciones de identidades, … pues vamos utilizar CACert.

Siguiendo esta linea, es tan sencillo como registrarse en la web de CACert, crearse un dominio. Después de seguir todo el rollo administrativo y de comprobaciones, finalmente nos aprobarán el dominio 1) y podremos crear certificados, tanto para servidor, como para clientes.

Si estas haciendo pruebas y no estás haciendo nada muy serio, os aconsejo que creeis vuestra propia CA. Es muy fácil si seguis: http://sial.org/howto/openssl/ca/

CSR (Peticion para Firma de Certificado)

Bien, pues si para poder tener certificados, es necesario crear un par de claves (pública/privada) para, después crear el CSR con la cláve publica y enviarla a la CA2) para que pueda generar el certificado.

Manos a la obra:

usuario@maquina:~ $ cd /etc/ssl
usuario@maquina:/etc/ssl $ sudo chmod 710 private
usuario@maquina:/etc/ssl $ sudo openssl genrsa -out private/locolandia.net.key 2048
usuario@maquina:/etc/ssl $ sudo openssl req -new -key private/locolandia.net.key -out locolandia.net.csr

Te pide unos datos para que rellenes, y listo.

usuario@maquina:/etc/ssl $ sudo cat locolandia.net.csr

Luego tenemos que firmar la clave pública con la CA, en nuestro caso CA Cert. Y nos devolvera el certificado firmado que colocaremos donde están los certificados públicos.

usuario@maquina:/etc/ssl $ sudo cp /tmp/locolandia.net.pem certs/locolandia.net.pem

Servicios con SSL

Una muestra de configurar vuestros servicios, para que cifren con SSL:

Servicio Software
HTTPS Apache2
LDAPS OpenLDAP
1) no recuerdo si esto es automático o tardan un par de días
2) En nuestro caso CACert
 
Subir
manuales/ca-ssl.txt · Última modificación: 09/10/2007 12:30 por xkill