martes, 26 de junio de 2012

Como Crear certificados SSL para Apache

Paso 1: Generar el par de llaves
La utilidad “openssl” se utiliza para generar la llave privada y el CSR. Esta utilidad viene con el paquete OpenSSL y se suele instalar en /usr/local/ssl/bin. Si usted los ha instalado en otros lugares tendrá que ajustar estas instrucciones adecuadamente.
A continuación ejecute el siguiente comando:

openssl genrsa -des3 -out www.mydomain.com.key 2048

Por ejemplo:



• Este comando genera una llave privada RSA de 2048 bits y la almacena en el archivo www.mydomain.com.key
• Nota: Para todos los certificados SSL, la longitud de la llave CSR debe ser de 2048 bits.
• Cuando se le solicite una frase secreta (pass phrase), por favor ingrese una frase segura y fácil de recordar, ya que esta frase de paso es la que protege la llave privada. La llave privada y el certificado son requeridos para habilitar SSL.
• NOTA: Para omitir el requisito de frase de paso, omita la opción des3 al generar la llave privada. Si no desea proteger su llave privada con una frase de paso (sólo si es absolutamente la confianza que la máquina servidor, y está seguro de que los permisos son cuidadosamente establecidos), puede dejar de lado la opción anterior -des3. También omita la opción -des3 si está ejecutando Apache en Windows, ya que no funciona en Windows.

Paso2: Generar un CSR

2.1 Escriba el siguiente comando en el sistema:

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Por ejemplo:


Nota: Si usted está utilizando OpenSSL en Windows, puede que tenga que especificar la ruta de openssl.cnf como las siguiente: openssl req –new –key .key -config “c:\Apache Software Foundation\Apache2.2\conf\openssl.cnf” –out .csr

2.2 Este comando le solicitará que ingrese los siguientes atributos para el certificado:


Nombre del campoExplicaciónEjemplo
Country Name (C)Es el nombre del país. Use el código de dos letras sin puntuacion para el país.PE
State or Province (S)Es el estado o Provincia, no abrevie el nombre del estado o provinciaLima
Locality or City (L)Es el campo de localidad o ciudad.Lima
Company (O)Aquí debe de escribir el nombre se su empresa, este nombre debe de coincidir con el nombre que figura en la Constitucion de la Empresa. Si su empresa o departamento tiene un &, @, o cualquier otro símbolo con la tecla de mayúsculas en su nombre, debe omitirlo para poder inscribirse.Mi Company CA
Organization Unit (OU)Este campo es la unidad organizativa, se utiliza para ayudar a identificar los certificados de registro a una organización. La unidad organizativa, es el nombre de la unidad o departamento que realiza la solicitud. Para saltar este campo, pulse Intro en el teclado.Sistemas
Common name (CN)El common name o nombre común se compone de HOST + DOMINIO. Aquí escriba el nombre de dominio o subdominio completo del sitio que se está asegurando.www.company.como
mail.company.com

Asegúrese de que esta información es la correcta para la Organización ya que es la que se reflejará en su certificado.
A continuación se muestra un ejemplo del llenado de los atributos en el servidor:


Los certificados Verisign y/o Thawte sólo pueden ser utilizados en los servidores con el common name que se especifica en el CSR. Por ejemplo un certificado para “dominio.com” recibirá una alerta si accede a un sitio www.dominio.com o seguro.dominio.com, porque www.dominio.com y seguro.dominio.com son diferentes de “dominio.com”.
No ingrese direcciones de email, la frase secreta o nombres opcionales de la compañía cuando genere el CSR.
En este momento usted ha creado un par de llaves publica/privada.
• La llave privada (www.mydomain.com.key) esta guardada en el servidor de máquina local y es utilizada para descifrar.guarde este archivo en un lugar seguro y no lo divulgue por ningún motivo. Ni Verisign Inc y Ni Thawte Inc solicitarán el envío de la llave privada.
• La llave publica, CSR (certrequest.csr) se utilizará para solicititar el certificado.Este es el archivo necesario enviar al Proveedor  de Certificados para la inscripción del certificado.
2.3 Para copiar y pegar la información del CSR en el enrolamiento, usted debe abrir el archivo con un editor de texto (Notepad, Vi) y guardarlo como un archivo *.txt. No utilice Microsoft Word ya que puede adicionar caracteres ocultos que pueden alterar el contenido del CSR.
Nota: La generación de la llave privada (Private key) con la frase de paso (pass phrase), significa que la misma frase de paso (pass phrase) tendrá que ser introducida después de reiniciar el servidor.
Paso 3: Respalde la llave privada
Se recomienda que la llave privada sea respaldada junto con la frase secreta. Una buena opción es crear una copia de este archivo en un diskette, cd, Pendrive o algún dispositivo de almacenamiento removible. Esta clave privada puede ser útil tenerla en caso de falla del servidor.

Durante el proceso de verificación es posible que la Entidad Certificadora (VeriSign y/o Thawte) tenga que ponerse en contacto con su organización. Asegúrese de entregar una dirección de correo electrónico, número de teléfono y número de fax correctos, estos datos se verificarán y no son parte del certificado.
Ayudas
A continuación le mostramos otro ejemplo de cómo deben de ser llenados los campos atributos:

A continuación se muestra una captura de pantalla del CSR.


Se recomienda utilizar las últimas versiones de Apache, mod_ssl y OpenSSL. La distribución de archivos comprimidos se puede encontrar en los siguientes lugares:

http://www.apache.org/dist/
http://www.modssl.org/source/
http://www.openssl.org/source/

Asimismo, las instrucciones detalladas para la instalación se pueden encontrar en los archivos de instalación en los tres paquetes.

La utilidad (OpenSSL) que se utiliza para generar la clave privada RSA (private key) y la solicitud de firma de certificado (CSR) viene con OpenSSL y generalmente se instala en el directorio SSL_BASE/bin where SSL_BASE es la ruta especificada para la construcción de Apache + mod_ssl ya sea con la opción -openssl o la variable SSL_BASE.

Compartir: