Professional Documents
Culture Documents
FUNCIONAMIENTO
Una conexión SSL siempre es iniciada por el cliente. Al principio de una sesión
SSL, se realiza un protocolo de enlace SSL. Este protocolo de enlace produce
los parámetros criptográficos de la sesión. Una visión general simplificada de
cómo se procesa el protocolo de enlace SSL se muestra en la figura a
continuación. En este ejemplo se supone que se está estableciendo la
conexión SSL entre un navegador Web y un servidor Web
1. El cliente envía el mensaje "hello" que lista las posibilidades
criptográficas del cliente (clasificadas por orden de preferencia del
cliente), como la versión de SSL, los grupos de programas de cifrado
soportados por el cliente y los métodos de compresión de datos
soportados por el cliente. El mensaje también contiene un número
aleatorio de 28 bytes.
2. El servidor responde con el mensaje "hello" del servidor que contiene
el método criptográfico (conjunto de programas de cifrado) y el método
de compresión de datos seleccionados por el servidor, el ID de sesión
y otro número aleatorio.
Nota:
El cliente y el servidor deben dar soporte como mínimo a un conjunto
de cifrado común; de lo contrario, el protocolo de enlace dará error.
Generalmente, el servidor elige el conjunto de programas de cifrado
común más potente.
Nota:
No es necesario un proceso adicional para verificar el certificado
digital del servidor. Si el servidor no tiene la clave privada que
pertenece al certificado digital, no podrá descifrar el secreto pre-
maestro y crear las claves correctas para el algoritmo de cifrado
simétrico y el protocolo de enlace dará error.
Si una sesión SSL está a punto de establecerse con un servidor que envíe un
certificado digital con el certificado digital de CA raíz que no esté definido en el
archivo de almacén de confianza del cliente, la sesión SSL no se establecerá.
Para evitar esta situación, importe el certificado digital de CA raíz al almacén de
claves o al almacén de confianza del cliente.
Este nos identificara como una Autoridad certificadora y permitirá que podamos
firmar otros certificados, cuando lo generamos se crean dos archivo el
cacet.pem que es el que es el que enviaremos a nuestros cliente y el
cakey.pem que es el certificado privado nuestro y que nadie lo debe conocer
los generaremos de la siguiente manera, luego nos pedirá un pass phrase que
se recomienda sea complejo y luego unos cuantos campos como departamento
o división (que deseemos), correo electrónico (que deseemos), al final el
hostname que será nuestro dominio o ip, los otros campos los dejaremos en
blanco pues ya configuramos anteriormente en el openssl.cnf