Creacin y administracin de certificados de seguridad mediante OpenSSL

Introduccin
En determinadas ocasiones es necesaria una conexin segura:
Peticin de datos de una tarjeta bancaria en comercio electrnico Peticin del usuario!contrase"a en el acceso al correo electrnico

#ecesidad de comunicaciones cifradas Dos ti$os de cifrado:

%im&trico Par de cla'es $(blica!$ri'ada

)os ser'icios seguros utili*an cla'es $(blica!$ri'ada

Doble Titulacin Informtica + Telemtica 1

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de un $ar de cla'es $(blica - $ri'ada .I/ Pueden generarse $rotegidas con contrase"a o sin contrase"a
openssl genrsa [-des|-des3] [<tamao>]

Protegidas con contrase"a:

openssl genrsa -des3 2048 > clave.key

Protegidas sin contrase"a:

openssl genrsa 2048 > clave.key

0tili*ar contrase"a es ms seguro1 $ero re2uiere su introduccin $ara $ermitir arrancar el ser'icio 2ue utili*ar el certificado creado con las cla'es
Doble Titulacin Informtica + Telemtica +

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de un $ar de cla'es $(blica - $ri'ada .II/

Puede extraerse la $arte $(blica ejecutando el comando:

openssl rsa -in clave.key -p !o t -o t p !lica.key

Doble Titulacin Informtica + Telemtica

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de un certificado Dos ti$os de certificados:

5irmados $or una autoridad de certificacin .,6/ 6utofirmados

En los firmados $or ,61 la ,6 garanti*a 2ue ese certificado es autentico1 corres$onde al ordenador1 etc En los autofirmados es el $ro$io ordenador el 2ue 7garanti*a8 su autenticidad )os autofirmados son gratuitos - los firmados $or una ,6 no
Doble Titulacin Informtica + Telemtica 4

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de un certificado $ara su firma $or ,6

%e crea utili*ando el comando:
openssl re" -ne# -key clave.key -o t servidor.csr

Donde:

re2 indica 2ue se solicita un certificado : 9;< $ara ser firmado cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad ser'idor csr es el fic=ero 2ue contendr la salida

%e solicita informacin sobre el $a>s1 $ro'incia1 localidad1 organi*acin1 unidad1 ordenador - correo del administrador El fic=ero ser'idor csr debe en'iarse a una ,6 $ara 2ue lo firme - nos de'uel'a un fic=ero firmado ser'idor crt
Doble Titulacin Informtica + Telemtica 9

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de un certificado autofirmado %e crea utili*ando el comando:

openssl re" -ne# -key clave.key -$%0& -days 3'% -o t servidor.crt

Donde:
re2 indica 2ue se solicita un certificado : 9;< $ara ser firmado cla'e $em es el fic=ero con las cla'es $(blica!$ri'ada generado con anterioridad x9;< indica 2ue firme el certificado como : 9;< 'alido ser'idor crt es el fic=ero 2ue contiene la salida

%e solicita la misma informacin 2ue antes

Doble Titulacin Informtica + Telemtica ?

Creacin y administracin de certificados de seguridad mediante OpenSSL

Instalacin de un certificado en el ser'idor Tan solo es necesario co$iar los fic=eros cla'e Ae- - ser'idor crt en la ubicaciones adecuadas - con los nombres adecuados Ejem$los:
%er'idor Beb 6$ac=e:
cla'e Ae- como !etc!$Ai!tls!$ri'ate!local=ost Ae ser'idor $em como !etc!$Ai!tls!certs!local=ost crt

%er'idor de entrega final de correo .PCP3s e ID6Ps/

cla'e Ae- como !etc!$Ai!do'ecot!$ri'ate!do'ecot $em ser'idor $em como !etc!$Ai!do'ecot!do'ecot $em Doble Titulacin Informtica + Telemtica @

Creacin y administracin de certificados de seguridad mediante OpenSSL

Instalacin de un certificado en el cliente %i el certificado =a sido firmado $or una ,6 reconocida $or nuestro cliente1 nuestro certificado ser reconocido automticamente %i el certificado es autofirmado o firmado $or una ,6 no reconocida1 deberemos instalarlo
)a instalacin de$ende del sistema o$erati'o $rograma1 $ero es sencilla 0na 'e* instalado1 el certificado ser 'alido como si =ubiera sido firmado $or una ,6 reconocida
Doble Titulacin Informtica + Telemtica E

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .I/

En ocasiones es necesario crear una autoridad de certificacin $ara:
5irmar certificados como una ,6 $ero de forma gratuita Ex$edir certificados $ara 'arios ordenadores - 2ue los clientes im$orten solo nuestra ,6 como ,6 reconocida - no los certificados de cada ordenador

0na autoridad de certificacin es cual2uiera de 2ui&n nos fiemos o nuestros $rogramas se f>en Ejem$los de ,6 incluidos en el Dicrosoft Internet Ex$lorer:
6utoridad ,ertificadora del ,olegio #acional de ,orredur>a P(blica Dexicana1 6 , Deutsc=e TeleAom Foot ,6 1 =tt$:!!BBB 'alicert com Dicrosoft Foot 6ut=orit Gerisign Trust #etBorA

Doble Titulacin Informtica + Telemtica

<

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .II/

Es necesario crear el siguiente rbol de directorios fic=eros:
/root/CA/

certs/

csr/

crl/

newcerts/

private/

serial

crlnumber

index.txt

certs1 csr1 crl1 neBcerts - $ri'ate son directorios serial contiene el n(mero de serie del siguiente certificado 2ue firmemos1 inicialmente ;1Hn crlnumber contiene el n(mero de serie de la siguiente lista de certificados re'ocados1 inicialmente ;1Hn index txt es una 7base de datos8 con los certificados firmados
Doble Titulacin Informtica + Telemtica 1;

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .III/

Directorio /root/CA/certs Descripcin Directorio donde se almacenaran los certificados ya firmados y enviados a los clientes.

/root/CA/newcerts Directorio donde se guardan los certificados que acaban de ser firmados. /root/CA/crl /root/CA/csr (Certificate Revokation ist!. Directorio certificados revocados son almacenados. donde los

(Certificate "igning Request!. Directorio donde son almacenadas las peticiones de certificados pendientes de firmar. Directorio donde se almacenaran la clave privada de la autoridad de certificaci#n$ as% como las dem&s claves privadas que sean generadas para los diferentes servicios.

/root/CA/private

Doble Titulacin Informtica + Telemtica

11

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .IG/

Es necesario configurar los 'alores de la ,6 co$iando !etc!$Ai!tls!o$enssl cnf en otro fic=ero - modificando las secciones I,6JdefaultK1 Ire2Jdistinguis=edJnameK - Ire2K

Doble Titulacin Informtica + Telemtica

1+

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .G/ %eccin I,6JdefaultK:

dir certs crl)dir database new)certs)dir certificate serial /root/CA (dir/certs (dir/crl (dir/index.txt (dir/newcerts (dir/irtic.pem (dir/serial Directorio ra%' certificaci#n. de la autoridad de los Directorio donde se almacenaran certificados ya firmados.

Directorio donde los certificados revocados son almacenados. Arc*ivo con la base de datos de los certificados. Directorio donde se guardan los certificados que acaban de ser firmados. Arc*ivo con la clave p+blica de la autoridad de certificaci#n. Arc*ivo con el n+mero de serie de los certificados.

Doble Titulacin Informtica + Telemtica

13

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .GI/

crlnumber (dir/crlnumber Arc*ivo con el n+mero de serie de revocaci#n. "i se desea un funcionamiento como en versiones antiguas de openssl puede comentarse esta l%nea. ista de los certificados revocados.

crl private)key RA,D-. / x012)extensions name)opt cert)opt default)days default)crl)days default)md preserve policy

(dir/crl.pem

(dir/private/irtic.key Arc*ivo con la clave privada de la autoridad de certificaci#n. (dir/private/.rand usr)cert ca)default ca)default 450 41 md0 no policy)matc* Arc*ivo con el n+mero aleatorio privado. /xtensiones que *an de a3adirse al certificado. -ormato en que se mostrar& el nombre del certificado antes de que sea firmado. -ormato en que se mostrar& un certificado antes de que sea firmado. D%as por defecto para los que se firma el arc*ivo. D%as por defecto en que debe ser actuali'ada la lista de certificados revocados de esta autoridad de certificaci#n. Compendio de mensa6e utili'ado. .ndica si se *a de mantener o no el orden Domain ,ame. 7ol%tica por defecto a aplicar si no se especifica ninguna.

Doble Titulacin Informtica + Telemtica

14

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .GII/ %eccin Ire2Jdistinguis=edJnameK:

Variable country,ame)default state8r7rovince,ame)default locality,ame)default 1.organi'ation,ame)default common,ame)default emailAddress)default /" 9alencia 7aterna :niversitat de 9alencia Autoridad de Certificacion del .R;.C webmaster<irtic.uv.es Valor Descripcin 7a%s de emisi#n del certificado /stado o provincia de emisi#n ocalidad de certificado emisi#n del

,ombre de la organi'aci#n ,ombre de la secci#n ,ombre de la autoridad Direcci#n de correo del responsable de la autoridad de certificaci#n

organi'ational:nit,ame)default .R;.C

Doble Titulacin Informtica + Telemtica

19

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .GIII/ %eccin Ire2K:

Variable default)bits default)md

Valor por defecto =1>? s*aA

Descripcin @its por defecto de la clave privada. Compendio de mensa6e usado por defecto.

Doble Titulacin Informtica + Telemtica

1?

Creacin y administracin de certificados de seguridad mediante OpenSSL

,reacin de una autoridad de certificacin .I:/ ,reacin del certificado de la ,6:

openssl re" -ne# -$%0& -days 3'%0 (con)ig *root*+,*irtic.cn) -keyo t *root*+,*private*irtic.key -o t *root*+,*irtic.pem

,om$robacin del certificado de la ,6:

openssl rsa -in *root*+,*private*irtic.key (te$t openssl $%0& -in *root*+,*irtic.pem (te$t openssl $%0& -in *root*+,*irtic.pem -p rpose

Doble Titulacin Informtica + Telemtica

1@

Creacin y administracin de certificados de seguridad mediante OpenSSL

Distribucin de la acreditacin de la ,6 Debe =acerse $(blico1 mediante un ser'idor:

Leb 5TP Etc

el fic=ero irtic $em En algunos casos .LindoBs/ debe ser llamado irtic cer $ara 2ue sea reconocido como certificado
Doble Titulacin Informtica + Telemtica 1E

Creacin y administracin de certificados de seguridad mediante OpenSSL

5irma de un certificado $or una ,6

Deseamos firmar el certificado !root!,6!csr!ser'idor csr Examinamos sus datos:
openssl re" -in *root*+,*csr*servidor.csr -te$t

%i es 'alido lo firmamos:
openssl ca -con)ig *root*+,*irtic.cn) -in *root*+,*csr*servidor.csr (ver!ose

El ,ommon #ame debe corres$onder con el ordenador $ara el 2ue se firma %i firmamos un certificado 2ue no es de nuestra organi*acin:
openssl ca -con)ig *root*+,*irtic.cn) -in *root*+,*csr*servidor.csr -ver!ose -policy policy-anyt.ing

Doble Titulacin Informtica + Telemtica

1<

Creacin y administracin de certificados de seguridad mediante OpenSSL

Fe'ocacin de un certificado $or una ,6 Deseamos re'ocar el certificado !root!,6!certs!ser'idor crt Fe'ocamos el certificado:
openssl ca (con)ig *root*+,*irtic.cn) -revoke *root*+,*certs*servidor.crt

6ctuali*amos la lista de certificados re'ocados:

openssl ca (con)ig *root*+,*/o!otica.cn) -gencrl -o t *root*+,*crl*crl.pem

,om$robamos la lista de certificados re'ocados:

openssl crl -in *root*+,*crl*crl.pem -te$t Doble Titulacin Informtica + Telemtica +;