Generar Certificado para SSL servidor WEB. Llaves OpenSSL 2048 bit.

El presente instructivo tiene como finalidad de dar a conocer el procedimiento para generación de llave y generación de solicitud de firma certificado Openssl, el mismo puede ser utilizado como certificado para conexión segura (SSL) en servidor WEB (HTTPS).

Requisitos:

  • Se debe contar con suficiente privilegios para la configuración de aplicativos

Plataforma:

  • Equipos de arquitectura 64 bits
  • Sistema operativo ‘GNU/Linux’ Debian versión 7.0 (actualmente estable)

Instalación

 operador@servidor:$ sudo aptitude install openssl


Configuración:

1. Generar llave:

 operador@servidor:$ openssl genrsa -out key.pem 2048
    Generating RSA private key, 2048 bit long modulus
    ....................................+++
    ...........+++
    e is 65537 (0x10001)

2. Generar solicitud de firma de certificado:

operador@servidor:$ openssl req -new -key key.pem -out ServerTrucupei-solicitud.csr
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----

2.1. Colocar las siglas del País

Country Name (2 letter code) [AU]:VE

2.2. Colocar Estado (o provincia):

State or Province Name (full name) [Some-State]: Distrito Capital

2.3. Colocar Localidad (o ciudad):

Locality Name (eg, city) []:Caracas

2.4. Colocar Organización:

Organization Name (eg, company) [Internet Widgits Pty Ltd]: Trucupei

2.5. Colocar Unidad de Organización:

Organizational Unit Name (eg, section) []: Proyecto WP Trucupei

2.6. Colocar Nombre servidor

Common Name (eg, YOUR name) []: server.trucupei.com.ve

2.7. Colocar dirección de correo del responsable (operador@trucupei.com.ve)

Email Address []: operador@trucupei.com.ve

2.8. Contraseña (Dejar en Blanco):

  Please enter the following 'extra' attributes
  to be sent with your certificate request
  A challenge password []: (Dejar en blanco)

2.9. Nombre opcional organización (Dejar en blanco)

 An optional company name []: (Dejar en blanco)

3. visualizar el contenido de certificado:

operador@servidor:/web/ssl/bin$ ./openssl req -in ServerTrucupei-solicitud.csr -noout -text
 
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=VE, ST=Distrito Capital, L=Caracas, O=Trucupei, OU=Proyecto WP Trucupei, CN=server.trucupei.com.ve/emailAddress=operador@trucupei.com.ve
     Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
         RSA Public Key: (2048 bit)
            Modulus (2048 bit):

4. En éste punto podemos Remitir solicitud de firma de certificado a la entidad certificadora o autofirmar. En nuestro caso ”’Autofirmar”’:

operador@servidor:$ openssl x509 -req -days 365 -in ServerTrucupei-solicitud.csr -signkey key.pem -out server.trucupei.com.ve.crt
 
    Signature ok
    Getting Private key
    Enter pass phrase for server.key:

5. Resumen de los archivos generados:

  • key.pem = llave privada
  • ServerTrucupei-solicitud.csr = solicitud de firma de certificación
  • server.trucupei.com.ve.crt = certificado auto-firmado

6.- Listar contenido certificado Firmados o Auto-firmados

operador@servidor:$ openssl x509 -subject -issuer -enddate -noout -in server.trucupei.com.ve.csr

7.- Listar detalles certificados Firmados o Auto-firmados:

operador@servidor:$ openssl x509 -in server.trucupei.com.ve.csr -noout -text

SERVIDOR WEB:

1. Activar modulo SSL

operador@servidorweb:~# a2enmod ssl

2. Editar el archivo de configuración de su site(por defecto apache utiliza 000-default-ssl.conf):

operador@servidorweb:~# vim /etc/apache/site-enabled/000-default-ssl.conf

Agregar la siguiente linea:

SSLEngine on
SSLCertificateFile /opt/SSL/certs/server.trucupei.com.ve.crt
SSLCertificateKeyFile /opt/SSL/private/key.pem

3. Activar site:

operador@servidorweb:~# a2ensite default-ssl.conf

4. Reiniciar servidor apache2

operador@servidorweb:~# /etc/init.d/apache2 restart

5. Efectuar pruebas con Navegador WEB:
https://127.0.0.1

Enlaces:

ssl-certificado-firmado-por-nuestra-propia-entidad-certificadora

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s