Professional Documents
Culture Documents
Introduccin
En determinadas ocasiones es necesaria una conexin segura:
Peticin de datos de una tarjeta bancaria en comercio electrnico Peticin del usuario!contrase"a en el acceso al correo electrnico
,reacin de un $ar de cla'es $(blica - $ri'ada .I/ Pueden generarse $rotegidas con contrase"a o sin contrase"a
openssl genrsa [-des|-des3] [<tamao>]
0tili*ar contrase"a es ms seguro1 $ero re2uiere su introduccin $ara $ermitir arrancar el ser'icio 2ue utili*ar el certificado creado con las cla'es
Doble Titulacin Informtica + Telemtica +
En los firmados $or ,61 la ,6 garanti*a 2ue ese certificado es autentico1 corres$onde al ordenador1 etc En los autofirmados es el $ro$io ordenador el 2ue 7garanti*a8 su autenticidad )os autofirmados son gratuitos - los firmados $or una ,6 no
Doble Titulacin Informtica + Telemtica 4
Donde:
re2 indica 2ue se solicita un certificado : 9;< $ara ser firmado cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad ser'idor csr es el fic=ero 2ue contendr la salida
%e solicita informacin sobre el $a>s1 $ro'incia1 localidad1 organi*acin1 unidad1 ordenador - correo del administrador El fic=ero ser'idor csr debe en'iarse a una ,6 $ara 2ue lo firme - nos de'uel'a un fic=ero firmado ser'idor crt
Doble Titulacin Informtica + Telemtica 9
Donde:
re2 indica 2ue se solicita un certificado : 9;< $ara ser firmado cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad x9;< indica 2ue firme el certificado como : 9;< 'alido ser'idor crt es el fic=ero 2ue contiene la salida
Instalacin de un certificado en el ser'idor Tan solo es necesario co$iar los fic=eros cla'e Ae- - ser'idor crt en la ubicaciones adecuadas - con los nombres adecuados Ejem$los:
%er'idor Beb 6$ac=e:
cla'e Ae- como !etc!$Ai!tls!$ri'ate!local=ost Ae ser'idor $em como !etc!$Ai!tls!certs!local=ost crt
Instalacin de un certificado en el cliente %i el certificado =a sido firmado $or una ,6 reconocida $or nuestro cliente1 nuestro certificado ser reconocido automticamente %i el certificado es autofirmado o firmado $or una ,6 no reconocida1 deberemos instalarlo
)a instalacin de$ende del sistema o$erati'o $rograma1 $ero es sencilla 0na 'e* instalado1 el certificado ser 'alido como si =ubiera sido firmado $or una ,6 reconocida
Doble Titulacin Informtica + Telemtica E
0na autoridad de certificacin es cual2uiera de 2ui&n nos fiemos o nuestros $rogramas se f>en Ejem$los de ,6 incluidos en el Dicrosoft Internet Ex$lorer:
6utoridad ,ertificadora del ,olegio #acional de ,orredur>a P(blica Dexicana1 6 , Deutsc=e TeleAom Foot ,6 1 =tt$:!!BBB 'alicert com Dicrosoft Foot 6ut=orit Gerisign Trust #etBorA
<
certs/
csr/
crl/
newcerts/
private/
serial
crlnumber
index.txt
certs1 csr1 crl1 neBcerts - $ri'ate son directorios serial contiene el n(mero de serie del siguiente certificado 2ue firmemos1 inicialmente ;1Hn crlnumber contiene el n(mero de serie de la siguiente lista de certificados re'ocados1 inicialmente ;1Hn index txt es una 7base de datos8 con los certificados firmados
Doble Titulacin Informtica + Telemtica 1;
/root/CA/newcerts Directorio donde se guardan los certificados que acaban de ser firmados. /root/CA/crl /root/CA/csr (Certificate Revokation ist!. Directorio certificados revocados son almacenados. donde los
(Certificate "igning Request!. Directorio donde son almacenadas las peticiones de certificados pendientes de firmar. Directorio donde se almacenaran la clave privada de la autoridad de certificaci#n$ as% como las dem&s claves privadas que sean generadas para los diferentes servicios.
/root/CA/private
11
Es necesario configurar los 'alores de la ,6 co$iando !etc!$Ai!tls!o$enssl cnf en otro fic=ero - modificando las secciones I,6JdefaultK1 Ire2Jdistinguis=edJnameK - Ire2K
1+
Directorio donde los certificados revocados son almacenados. Arc*ivo con la base de datos de los certificados. Directorio donde se guardan los certificados que acaban de ser firmados. Arc*ivo con la clave p+blica de la autoridad de certificaci#n. Arc*ivo con el n+mero de serie de los certificados.
13
crl private)key RA,D-. / x012)extensions name)opt cert)opt default)days default)crl)days default)md preserve policy
(dir/crl.pem
(dir/private/irtic.key Arc*ivo con la clave privada de la autoridad de certificaci#n. (dir/private/.rand usr)cert ca)default ca)default 450 41 md0 no policy)matc* Arc*ivo con el n+mero aleatorio privado. /xtensiones que *an de a3adirse al certificado. -ormato en que se mostrar& el nombre del certificado antes de que sea firmado. -ormato en que se mostrar& un certificado antes de que sea firmado. D%as por defecto para los que se firma el arc*ivo. D%as por defecto en que debe ser actuali'ada la lista de certificados revocados de esta autoridad de certificaci#n. Compendio de mensa6e utili'ado. .ndica si se *a de mantener o no el orden Domain ,ame. 7ol%tica por defecto a aplicar si no se especifica ninguna.
14
,ombre de la organi'aci#n ,ombre de la secci#n ,ombre de la autoridad Direcci#n de correo del responsable de la autoridad de certificaci#n
organi'ational:nit,ame)default .R;.C
19
Descripcin @its por defecto de la clave privada. Compendio de mensa6e usado por defecto.
1?
1@
el fic=ero irtic $em En algunos casos .LindoBs/ debe ser llamado irtic cer $ara 2ue sea reconocido como certificado
Doble Titulacin Informtica + Telemtica 1E
%i es 'alido lo firmamos:
openssl ca -con)ig *root*+,*irtic.cn) -in *root*+,*csr*servidor.csr (ver!ose
El ,ommon #ame debe corres$onder con el ordenador $ara el 2ue se firma %i firmamos un certificado 2ue no es de nuestra organi*acin:
openssl ca -con)ig *root*+,*irtic.cn) -in *root*+,*csr*servidor.csr -ver!ose -policy policy-anyt.ing
1<
Fe'ocacin de un certificado $or una ,6 Deseamos re'ocar el certificado !root!,6!certs!ser'idor crt Fe'ocamos el certificado:
openssl ca (con)ig *root*+,*irtic.cn) -revoke *root*+,*certs*servidor.crt