You are on page 1of 8

Banco Nacional de Mxico, S.A.

Arquitectura Capa Web Procedimiento de a Certificados 2048 bits


Sun Project Number: Sun Document Reference: Version Number: Author: Document Date: 1.0 FIT Consultores 04/05/2010

Sun Confidential Sun Microsystems de Mxico, 2011

Banco Nacional de Mxico, S.A. Arquitectura Capa Web

Procedimiento de a Certificados 2048 bits

Tabla de Contenido
0. Control Documental................................................................................................................................................................3 0.1. Histrico de Revisiones..................................................................................................................................................3 0.2. Distribucin del Documento...........................................................................................................................................3 0.3. Documentos Referenciados...........................................................................................................................................3 0.4. Control de Acceso al Documento...................................................................................................................................3 1. Certificados 2048 bits.............................................................................................................................................................4 1.1. Pasos para creacin e Instalacin.................................................................................................................................4

Project : Ref: /1.0

Pgina 2 de 8 Copyright Sun Microsystems de Mxico, 2011 Sun Confidential

Autor : FIT Consultores Fecha de Emisin : 31/01/2010

0. Control Documental
0.1. Histrico de Revisiones
Versin 1.0 2.0 3.0 4.0 Autor OR OR y RR OR OR Revisin A B C D Razn de la Versin Creacin del Documento Modificacion del Documento creacion de cert Modificacion del Documento creacion de cert Actualizacin de Documento a SP9 Fecha 28 Dic 09 26 Feb 10 11 Mar 10 04 May 10

0.2. Distribucin del Documento


Copia Rol Nombre - Compaa Correo Electrnico

0.3. Documentos Referenciados


Ref Documento Referenciado

0.4. Control de Acceso al Documento


Seccin Propietario Restricciones de Acceso

1. Certificados 2048 bits


1.1. Pasos para creacin e Instalacin.
Se realizaron pruebas de la creacin de certificados a 2048 como lo pide Verisign, la versin de Web Server que se esta usando es la 6.1 SP9. 1. 2. Logearse como root, no realizar switch de usuario normal a root. Ingresar a la siguiente ruta.
root # cd /opt/SUNWwbsvr/alias/ root # ls cert8.db key3.db https-prueba-cert8.db request.cert https-prueba-key3.db secmod.db

3.

Si ya se ha realizado este proceso anteriormente verificar que existan los siguientes archivos.
cert8.db_adm y key3.db_adm

si existen dirijase al punto 5, sino al punto 4. 4. Respaldar los archivos cert8.db por cert8.db_adm y key3.db por key3.db_adm.
root # cp -p cert8.db cert8.db_adm root # cp -p key3.db key3.db_adm

5.

Una vez respaldados cambiar de nombre a de las base de datos de la instancia, que se reconocen al final como https-instancia-cert8.db y https-instancia-key3.db, de la siguiente forma, se recomienda guardar los nombres originales de las bases de datos en un notepad, ya que se usaran en pasos ms adelante.
root # mv https-prueba-cert8.db cert8.db root # mv https-prueba-key3.db key3.db root # ls cert8.db_adm cert8.db request.cert key3.db_adm key3.db secmod.db

6.

Ejecutar el comando certutil de la siguiente manera.


root@ # /opt/SUNWwbsvr/bin/https/admin/bin/certutil -R -k rsa -g 2048 -s "CN=Prueba, OU=Citigroup Inc, O=Citigroup Inc, L=Barranca del Muerto, ST=Mexico, C=MX" -o new_request.cert -v 24 -d . -1 -3 -6 -a -z SHA1

NOTA: El Dato de L se reserva a la informacin que les proporcionen para el certificado 7. En caso de HP-UX si se presenta el siguiente problema.
/usr/lib/dld.sl: Can't find path for shared library: libnspr4.sl /usr/lib/dld.sl: No such file or directory Abort (coredump)

Se deber de ejecutar lo siguiente para poder exportar las librerias.


export SHLIB=$iplanet_home/bin/https/lib:$iplanet_home/bin/https/admin/bin

en donde $iplanet_home es la ruta de instalacin del Web Server.


Enter Password or Pin for "NSS Certificate DB":

1.

Pedira el password de la NSS Certificate DB; se ingresa y mostrara lo siguiente:


A random seed must be generated that will be used in the creation of your key. One of the easiest ways to create a random seed is to use the timing of keystrokes on a keyboard. To begin, type keys on the keyboard until this progress meter is full. DO NOT USE THE AUTOREPEAT FUNCTION ON YOUR KEYBOARD!

2.

Se generara una semilla aleatoria, para esto debes de teclear de modo que se llene la barra progresiva, una vez que se llene presione [enter].
Continue typing until the progress meter is full: |************************************************************| Finished. Press enter to continue:

3.

Mostrara los Siguientes menus, seleccionar las opciones que aparecen a continuacin.
Generating key. This may take a few moments... 0 - Digital Signature 1 - Non-repudiation 2 - Key encipherment 3 - Data encipherment 4 - Key agreement 5 - Cert signing key 6 - CRL signing key Other to finish 5 0 - Digital Signature 1 - Non-repudiation 2 - Key encipherment 3 - Data encipherment 4 - Key agreement 5 - Cert signing key 6 - CRL signing key Other to finish 9

Is this a critical extension [y/N]? N 0 - Server Auth 1 - Client Auth 2 - Code Signing 3 - Email Protection 4 - Timestamp 5 - OCSP Responder 6 - Step-up Other to finish 9 Is this a critical extension [y/N]? N Enter value for the authKeyID extension [y/N]? N

4.

Una vez terminado devolvera el prompt, ejecutar un ls y debera de mostrar el archivo que se creo.
root@ # ls cert8.db mcert8.db new_request.cert secmod.db key3.db mkey3.db request.cert

8.

Ejecutamos un more para poder ver la llave.


root@ # more new_request.cert Certificate request generated by Netscape certutil Phone: (not specified) Common Name:Prueba Email: (not specified) Organization: Citigroup Inc. State: Mexico Country: MX -----BEGIN NEW CERTIFICATE REQUEST----MIIC4DCCAcgCAQAwcjELMAkGA1UEBhMCVVMxETAPBgNVBAgTCE1hcnlsYW5kMRYw FAYDVQQHEw1TaWx2ZXIgU3ByaW5nMRcwFQYDVQQKEw5DaXRpZ3JvdXAgSW5jLjEN MAsGA1UECxMEY2l0aTEQMA4GA1UEAxMHbWFjcm9zczCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBALVu8qFaG5wl8Wshsh86d35vMBDdQmHzt75dgLLxyXNC utGmmBMhhwMAanec4LP2u4rBIxsCBuh6hyRFnGDuZIHHE0o3gAYuUGOHtqlnry6w rN6fzDvo1VXdOBmQhQGlDNHT4OZAs8UQoNjAqx3iUGNDeqfl6A5jTZFNE337yk5O UC91k5yp92+LrKCKIS9h9OVpDnZ4XiW5auJJX6B1KXaUFCTVJDlcRRK9weaGUzcm 3skUaXPACC0BjxEWoxX5gFll6Tusu9sU+IgDewoUqzZD3cZaIMvOQwruk3uHxRAG VDTf4e5J/8aedAuNOs+gclk9+jmyXwjrxuEGyhkfo8sCAwEAAaApMCcGCSqGSIb3 DQEJDjEaMBgwCQYDVR0lBAIwADALBgNVHQ8EBAMCAgQwDQYJKoZIhvcNAQEFBQAD ggEBAF85qJ/ckMJtwHaDzAeuvixb+AVHpPwhOoTcbXxNjNpQOfjv/TtoNErAaHyf L0SjrurSzDOmNn6BR8m6XjG2h3wZKY/O5MfjRRtEnovKs7HVmUou79xS6tLPpsZ3 jWQOIsk7zArHC/c046f/yy8gD9uM9bv3H3dvbTrZ6ALA7lantH0P73BwuAM77XUW jyKZVPH6R60UESjJbYKEg+BrOgBYqFnML9VY7uTWPvqCyDXsO+U02YV4BmMDWQMc EXlHty3aVcyaIQXHtXggy068pWIGtoy3uoBecwXwj5wkqkNs9q3dfJ7RH6jxbcxW OeD1hp2HMV8XKw5KfNXD60Uxr4Q= -----END NEW CERTIFICATE REQUEST----root@ #

9.

Se copian los archivos de la siguiente manera, usando los nombres originales que se guardaron anteriormente.
root@ # cp key3.db https-instance-name-key3.db root@ # cp cert8.db https-instance-name-cert8.db root@ # /opt/iplanet/v6.1/https-admserv/restart

10. Se manda a Verisign para el CA. 11. Se ingresa a la consola de administracin y se seleciona la instancia a instalar el certificado.

12. Dar click en el tab de seguridad (security).

13. Dar click en el panel izquierdo install certificate.

14. En el panel de la Derecha aparecera lo siguiente, seleccionar This Server.

15. Usar la criptografa de default: internal.

16. Ingrese el password.

17. Ingrese la ruta en donde se encuentra el certificado en el servidor.

Este paso se realiza nicamente si el certificado se tiene alojado en algn archivo dentro del servidor y se hace referencia a l en caso de que el certificado se tenga en un archivo aparte fuera del servidor se escoger la opcin de: Message text (with headers) y copiamos en la caja de texto todo el string del certificado. 18. Una vez terminado dar click en OK.

19. Se reinicia la instancia de administracin. ej.


root@ # cd /opt/iplanet/v6.1/https-admserv root@ # ./stop server has been shutdown root@ # ./start Sun ONE Web Server 6.1SP8 B06/14/2007 11:09 info: CORE3016: daemon is running as super-user info: CORE5076: Using [Java HotSpot(TM) Server VM, Version 1.4.2_13] from [Sun Microsystems Inc.] info: WEB0100: Loading web module in virtual server [vs-admin] at [/admin-app] info: HTTP3072: [LS ls1] http://testers:8886 ready to accept requests

20. Se reincia la instancia que se instalo el certificado. ej.


root@macross # cd /opt/iplanet/v6.1/https-prueba/ root@macross # ./stop server has been shutdown root@macross # root@macross # ./start Sun ONE Web Server 6.1SP8 B06/14/2007 11:09 info: CORE5076: Using [Java HotSpot(TM) Server VM, Version 1.4.2_13] from [Sun Microsystems Inc.] info: WEB0100: Loading web module in virtual server [https-macross] at [/search]info: HTTP3072: [LS ls1] https://macross:443 ready to accept requests startup: server started successfully