You are on page 1of 20

Creación y administración de certificados de seguridad mediante OpenSSL

Introducción
• En determinadas ocasiones es necesaria una conexión segura:
– Petición de datos de una tarjeta bancaria en comercio electrónico – Petición del usuario!contrase"a en el acceso al correo electrónico

• #ecesidad de comunicaciones cifradas • Dos ti$os de cifrado:
– %im&trico – Par de cla'es $(blica!$ri'ada

• )os ser'icios seguros utili*an cla'es $(blica!$ri'ada
Doble Titulación Informática + Telemática 1

Creación y administración de certificados de seguridad mediante OpenSSL

,reación de un $ar de cla'es $(blica - $ri'ada .I/ • Pueden generarse $rotegidas con contrase"a o sin contrase"a
openssl genrsa [-des|-des3] [<tamaño>]

• Protegidas con contrase"a:
openssl genrsa -des3 2048 > clave.key

• Protegidas sin contrase"a:
openssl genrsa 2048 > clave.key

• 0tili*ar contrase"a es más seguro1 $ero re2uiere su introducción $ara $ermitir arrancar el ser'icio 2ue utili*ará el certificado creado con las cla'es
Doble Titulación Informática + Telemática +

key -p !o t -o t p !lica.key Doble Titulación Informática + Telemática 3 .reación de un $ar de cla'es $(blica .$ri'ada .II/ • Puede extraerse la $arte $(blica ejecutando el comando: openssl rsa -in clave.Creación y administración de certificados de seguridad mediante OpenSSL .

6 no Doble Titulación Informática + Telemática 4 .61 la .Creación y administración de certificados de seguridad mediante OpenSSL .reación de un certificado • Dos ti$os de certificados: – 5irmados $or una autoridad de certificación ..los firmados $or una .6/ – 6utofirmados • En los firmados $or .6 garanti*a 2ue ese certificado es autentico1 corres$onde al ordenador1 etc • En los autofirmados es el $ro$io ordenador el 2ue 7garanti*a8 su autenticidad • )os autofirmados son gratuitos .

6 • %e crea utili*ando el comando: openssl re" -ne# -key clave.key -o t servidor.reación de un certificado $ara su firma $or .csr • Donde: – re2 indica 2ue se solicita un certificado : 9.6 $ara 2ue lo firme .Creación y administración de certificados de seguridad mediante OpenSSL .nos de'uel'a un fic=ero firmado ser'idor crt Doble Titulación Informática + Telemática 9 .< $ara ser firmado – cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad – ser'idor csr es el fic=ero 2ue contendrá la salida • %e solicita información sobre el $a>s1 $ro'incia1 localidad1 organi*ación1 unidad1 ordenador .correo del administrador • El fic=ero ser'idor csr debe en'iarse a una .

Creación y administración de certificados de seguridad mediante OpenSSL .< 'alido – ser'idor crt es el fic=ero 2ue contiene la salida • %e solicita la misma información 2ue antes Doble Titulación Informática + Telemática ? .< $ara ser firmado – cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad – x9.reación de un certificado autofirmado • %e crea utili*ando el comando: openssl re" -ne# -key clave.< indica 2ue firme el certificado como : 9.key -$%0& -days 3'% -o t servidor.crt • Donde: – re2 indica 2ue se solicita un certificado : 9.

como !etc!$Ai!tls!$ri'ate!local=ost Ae• ser'idor $em como !etc!$Ai!tls!certs!local=ost crt – %er'idor de entrega final de correo .ser'idor crt en la ubicaciones adecuadas .PCP3s e ID6Ps/ • cla'e Ae.con los nombres adecuados • Ejem$los: – %er'idor Beb 6$ac=e: • cla'e Ae.como !etc!$Ai!do'ecot!$ri'ate!do'ecot $em • ser'idor $em como !etc!$Ai!do'ecot!do'ecot $em Doble Titulación Informática + Telemática @ ..Creación y administración de certificados de seguridad mediante OpenSSL Instalación de un certificado en el ser'idor • Tan solo es necesario co$iar los fic=eros cla'e Ae.

6 reconocida $or nuestro cliente1 nuestro certificado será reconocido automáticamente • %i el certificado es autofirmado o firmado $or una .6 no reconocida1 deberemos instalarlo – )a instalación de$ende del sistema o$erati'o $rograma1 $ero es sencilla – 0na 'e* instalado1 el certificado será 'alido como si =ubiera sido firmado $or una .6 reconocida Doble Titulación Informática + Telemática E .Creación y administración de certificados de seguridad mediante OpenSSL Instalación de un certificado en el cliente • %i el certificado =a sido firmado $or una .

6 1 – =tt$:!!BBB 'alicert com – Dicrosoft Foot 6ut=orit– Gerisign Trust #etBorA Doble Titulación Informática + Telemática < .orredur>a P(blica Dexicana1 6 .Creación y administración de certificados de seguridad mediante OpenSSL . – Deutsc=e TeleAom Foot .6 $ero de forma gratuita – Ex$edir certificados $ara 'arios ordenadores .I/ • En ocasiones es necesario crear una autoridad de certificación $ara: – 5irmar certificados como una .olegio #acional de .6 incluidos en el Dicrosoft Internet Ex$lorer: – 6utoridad .2ue los clientes im$orten solo nuestra .6 como .ertificadora del .no los certificados de cada ordenador • 0na autoridad de certificación es cual2uiera de 2ui&n nos fiemos o nuestros $rogramas se f>en • Ejem$los de .6 reconocida .reación de una autoridad de certificación .

II/ • Es necesario crear el siguiente árbol de directorios fic=eros: /root/CA/ certs/ csr/ crl/ newcerts/ private/ serial crlnumber index.Creación y administración de certificados de seguridad mediante OpenSSL .1Hn • crlnumber contiene el n(mero de serie de la siguiente lista de certificados re'ocados1 inicialmente .1Hn • index txt es una 7base de datos8 con los certificados firmados Doble Titulación Informática + Telemática 1.reación de una autoridad de certificación .txt • certs1 csr1 crl1 neBcerts .$ri'ate son directorios • serial contiene el n(mero de serie del siguiente certificado 2ue firmemos1 inicialmente . .

Directorio donde se almacenaran la clave privada de la autoridad de certificaci#n$ as% como las dem&s claves privadas que sean generadas para los diferentes servicios. Directorio certificados revocados son almacenados.reación de una autoridad de certificación .III/ Directorio /root/CA/certs Descripción Directorio donde se almacenaran los certificados ya firmados y enviados a los clientes. /root/CA/crl /root/CA/csr (Certificate Revokation ist!. /root/CA/newcerts Directorio donde se guardan los certificados que acaban de ser firmados. Directorio donde son almacenadas las peticiones de certificados pendientes de firmar. donde los (Certificate "igning Request!.Creación y administración de certificados de seguridad mediante OpenSSL . /root/CA/private Doble Titulación Informática + Telemática 11 .

reación de una autoridad de certificación .Ire2K Doble Titulación Informática + Telemática 1+ .IG/ • Es necesario configurar los 'alores de la .Creación y administración de certificados de seguridad mediante OpenSSL .6 co$iando !etc!$Ai!tls!o$enssl cnf en otro fic=ero .6JdefaultK1 Ire2Jdistinguis=edJnameK .modificando las secciones I.

Arc*ivo con el n+mero de serie de los certificados.G/ %ección I. Directorio donde se guardan los certificados que acaban de ser firmados.6JdefaultK: dir certs crl)dir database new)certs)dir certificate serial /root/CA (dir/certs (dir/crl (dir/index. Doble Titulación Informática + Telemática 13 .reación de una autoridad de certificación .Creación y administración de certificados de seguridad mediante OpenSSL . de la autoridad de los Directorio donde se almacenaran certificados ya firmados.pem (dir/serial Directorio ra%' certificaci#n. Arc*ivo con la clave p+blica de la autoridad de certificaci#n. Directorio donde los certificados revocados son almacenados. Arc*ivo con la base de datos de los certificados.txt (dir/newcerts (dir/irtic.

/xtensiones que *an de a3adirse al certificado. crl private)key RA. 7ol%tica por defecto a aplicar si no se especifica ninguna. / x012)extensions name)opt cert)opt default)days default)crl)days default)md preserve policy (dir/crl.reación de una autoridad de certificación .key Arc*ivo con la clave privada de la autoridad de certificaci#n.rand usr)cert ca)default ca)default 450 41 md0 no policy)matc* Arc*ivo con el n+mero aleatorio privado. .D-. D%as por defecto para los que se firma el arc*ivo.Creación y administración de certificados de seguridad mediante OpenSSL .GI/ crlnumber (dir/crlnumber Arc*ivo con el n+mero de serie de revocaci#n. (dir/private/. Doble Titulación Informática + Telemática 14 . D%as por defecto en que debe ser actuali'ada la lista de certificados revocados de esta autoridad de certificaci#n.pem (dir/private/irtic. -ormato en que se mostrar& un certificado antes de que sea firmado. -ormato en que se mostrar& el nombre del certificado antes de que sea firmado.ndica si se *a de mantener o no el orden Domain . ista de los certificados revocados. "i se desea un funcionamiento como en versiones antiguas de openssl puede comentarse esta l%nea. Compendio de mensa6e utili'ado.ame.

ame)default emailAddress)default /" 9alencia 7aterna :niversitat de 9alencia Autoridad de Certificacion del .ombre de la organi'aci#n .R.C webmaster<irtic.ame)default state8r7rovince.C Doble Titulación Informática + Telemática 19 ..ombre de la secci#n .es Valor Descripción 7a%s de emisi#n del certificado /stado o provincia de emisi#n ocalidad de certificado emisi#n del .GII/ %ección Ire2Jdistinguis=edJnameK: Variable country.reación de una autoridad de certificación .ame)default .Creación y administración de certificados de seguridad mediante OpenSSL .ame)default common.ame)default locality.R.ame)default 1..organi'ation.uv.ombre de la autoridad Direcci#n de correo del responsable de la autoridad de certificaci#n organi'ational:nit.

Compendio de mensa6e usado por defecto.reación de una autoridad de certificación . Doble Titulación Informática + Telemática 1? .Creación y administración de certificados de seguridad mediante OpenSSL .GIII/ %ección Ire2K: Variable default)bits default)md Valor por defecto =1>? s*aA Descripción @its por defecto de la clave privada.

key -o t *root*+.reación del certificado de la .*irtic.cn) -keyo t *root*+.*irtic.key (te$t openssl $%0& -in *root*+.pem • .6: openssl re" -ne# -$%0& -days 3'%0 (con)ig *root*+.*irtic.Creación y administración de certificados de seguridad mediante OpenSSL .*private*irtic.6: openssl rsa -in *root*+.I:/ • .pem -p rpose Doble Titulación Informática + Telemática 1@ .*irtic.*private*irtic.reación de una autoridad de certificación .om$robación del certificado de la .pem (te$t openssl $%0& -in *root*+.

Creación y administración de certificados de seguridad mediante OpenSSL Distribución de la acreditación de la .6 • Debe =acerse $(blico1 mediante un ser'idor: – Leb – 5TP – Etc el fic=ero irtic $em • En algunos casos .LindoBs/ debe ser llamado irtic cer $ara 2ue sea reconocido como certificado Doble Titulación Informática + Telemática 1E .

*irtic.6 • Deseamos firmar el certificado !root!.csr -te$t • %i es 'alido lo firmamos: openssl ca -con)ig *root*+.6!csr!ser'idor csr • Examinamos sus datos: openssl re" -in *root*+.*irtic.*csr*servidor.*csr*servidor.*csr*servidor.cn) -in *root*+.csr (ver!ose • El .cn) -in *root*+.ing Doble Titulación Informática + Telemática 1< .csr -ver!ose -policy policy-anyt.Creación y administración de certificados de seguridad mediante OpenSSL 5irma de un certificado $or una .ommon #ame debe corres$onder con el ordenador $ara el 2ue se firma • %i firmamos un certificado 2ue no es de nuestra organi*ación: openssl ca -con)ig *root*+.

om$robamos la lista de certificados re'ocados: openssl crl -in *root*+.pem -te$t Doble Titulación Informática + Telemática +.*crl*crl.6!certs!ser'idor crt • Fe'ocamos el certificado: openssl ca (con)ig *root*+.6 • Deseamos re'ocar el certificado !root!. .*certs*servidor.*/o!otica.Creación y administración de certificados de seguridad mediante OpenSSL Fe'ocación de un certificado $or una .cn) -gencrl -o t *root*+.pem • .*crl*crl.crt • 6ctuali*amos la lista de certificados re'ocados: openssl ca (con)ig *root*+.*irtic.cn) -revoke *root*+.