Pues bíen, aún sabiendo que en locolandia somos gente de confianza y esas cosas, … y podríamos crear nuestra propia CA, siguiendo lo que Jeremy Mates no cuenta en su web http://sial.org/howto/openssl/ca/ . Hemos pensado, que para evitar falsificaciones de identidades, … pues vamos utilizar CACert.

Siguiendo esta linea, es tan sencillo como registrarse en la web de CACert, crearse un dominio. Después de seguir todo el rollo administrativo y de comprobaciones, finalmente nos aprobarán el dominio 1) y podremos crear certificados, tanto para servidor, como para clientes.

Bien, pues si para poder tener certificados, es necesario crear un par de claves (pública/privada) para, después crear el CSR con la cláve publica y enviarla a la CA2) para que pueda generar el certificado.

Manos a la obra:

usuario@maquina:~ $ cd /etc/ssl
usuario@maquina:/etc/ssl $ sudo chmod 710 private
usuario@maquina:/etc/ssl $ sudo openssl genrsa -out private/locolandia.net.key 2048
usuario@maquina:/etc/ssl $ sudo openssl req -new -key private/locolandia.net.key -out locolandia.net.csr

Te pide unos datos para que rellenes, y listo.

usuario@maquina:/etc/ssl $ sudo cat locolandia.net.csr

Luego tenemos que firmar la clave pública con la CA, en nuestro caso CA Cert. Y nos devolvera el certificado firmado que colocaremos donde están los certificados públicos.

usuario@maquina:/etc/ssl $ sudo cp /tmp/locolandia.net.pem certs/locolandia.net.pem

Una muestra de configurar vuestros servicios, para que cifren con SSL: