Administracin y Gestin de Redes Creacin y administracin de certificados de...

Creacin y administracin de certificados de seguridad

mediante OpenSSL.
Autor: Enrique V. Bonet Esteban
Introduccin.
En ocasiones, servicios que estudiaremos con posterioridad como un servidor de
HTTP, un servidor de correo como SMTP, un servidor de entrea fina! de correo P"P#
o $MAP, etc., requieren de una seuridad adiciona! que no proporcionan de forma
norma!.
As%, por e&emp!o, si poseemos una p'ina (e) que so!icita informacin
confidencia!, como pueden ser datos de una tar&eta )ancaria, o un servidor de correo
ante e! cua! e! usuario de)e identificarse mediante su nom)re de usuario y contrase*a,
de)emos e+iir a dic,os servicios una seuridad adiciona!, consistente en que !os datos
no circu!en por $nternet en formato de te+to p!ano -sin cifrar., accesi)!e a cua!quier
persona de $nternet que pueda interceptar !a comunicacin de !os datos, sino que so!o
puedan ser accesi)!es por e! c!iente y e! servidor.
Para e!!o, es necesario introducir !as comunicaciones en formato cifrado y una
mutua autentificacin entre !os c!ientes y servidores. Este proceso pasa por uti!i/ar un
sistema de encriptacin y por tanto, por enerar, en primer !uar, un sistema
criptor'fico adecuado.
0e forma enera!, e+isten dos tipos de sistemas criptor'ficos1
Convenciona!es o sim2tricos, en !os cua!es am)as partes de !a transmisin tienen
!a misma c!ave, !a cua! usan para codificar o decodificar !a transmisin de! otro
Criptoraf%a p3)!ica o asim2trica, en !a cua! e+isten dos c!aves, una p3)!ica y
otra privada, de forma que !a c!ave p3)!ica es accesi)!e a todo e! mundo y !a
c!ave privada es uardada en secreto. 4os datos codificados con !a c!ave p3)!ica
so!o pueden ser decodificados con !a c!ave privada y viceversa.
4a confiuracin de servidores seuros uti!i/a criptoraf%a de c!ave p3)!ica, de
forma que se crean un par de c!aves p3)!ica y privada
1
. 4a c!ave p3)!ica es enviada a
!os c!ientes, siendo uti!i/ada por estos tanto para decodificar !os mensa&es cifrados por
e! servidor con su c!ave privada, como para cifrar !os mensa&es que ser'n enviados a!
servidor, e! cua! !os decodificar' uti!i/ando su c!ave privada.
Creacin de un par de claves pblica y privada.
Como ,emos visto, e! primer paso que es necesario dar para crear un m2todo de
comunicacin seuro es poseer un par de c!aves p3)!ica y privada, c!aves que de)er'n
5
6na descripcin a!o m's deta!!ada de !a criptoraf%a de c!ave p3)!ica y privada puede encontrarse en
7Seuridad Pr'ctica en 68$9 e $nternet -:; edicin.< de Simson Garfin=e! y Gene Spafford, pu)!icado en
!a editoria! ">Rei!!y.
0o)!e Titu!acin $nform'tica ? Te!em'tica 5
Administracin y Gestin de Redes Creacin y administracin de certificados de...
ser creadas inicia!mente y que de)er'n ser sustituidas )ien por motivos de seuridad
-ro)o de !as mismas, etc.., como por motivos tempora!es -caducidad de !as mismas, por
e&emp!o..
Para enerar un par de c!aves p3)!ica@privada nuevas mediante "penSS4
2
de)emos e&ecutar e! comando1
openssl genrsa [-des|-des3|-idea] [<tamao>]
Aue enerar' un par de c!aves p3)!ica@privada, siendo !a c!ave privada de!
tama*o en )its especificado por <tamao>. Si <tamao> no se especifica, e! va!or por
defecto es de B5: )its
#
. Si se uti!i/a e! par'metro -des, -des3 o -idea, !a c!ave privada se
cifrar' uti!i/ando e! a!oritmo 0ES, #0ES o $0EA, para !o que se so!icitar' !a
introduccin de una contrase*a. Por e&emp!o, si e&ecutamos e! comando1
openssl genrsa -des3 2048 > clave.key
E! prorama enerar' un par de c!aves p3)!ica@privada de una !onitud de :CDE
)its, so!icitando !a introduccin de una contrase*a
D
y uardando !a informacin en un
fic,ero !!amado clave.key
B
. Cada ve/ que e! servicio que uti!ice esta c!ave sea
inicia!i/ado, se requerir' !a introduccin de !a contrase*a antes de ,a)i!itar e! servicio.
Si no se desea introducir una contrase*a cada ve/ que se inicia e! servicio, )ien
porque esto sucede de forma frecuente, )ien por comodidad, o por cua!quier otra causa,
se puede enerar una c!ave, cuyo uso no requerir' !a introduccin de una contrase*a,
mediante e! comando1
openssl genrsa 2048 > clave.key
A,ora veremos que e! prorama no so!icita !a introduccin de una contrase*a y
que, por tanto, ninuna contrase*a ser' requerida a! iniciar e! uso de !a c!ave por e!
servidor.
4os pro)!emas asociados con no usar !a contrase*a est'n re!acionados con e!
mantenimiento de !a seuridad en e! ordenador. Si un usuario ma!intencionado es capa/
de acceder a! fic,ero que contiene !a c!ave que no posee contrase*a, dic,o usuario
puede uti!i/ar dic,a c!ave para servir, por e&emp!o, p'inas (e) cifradas con !a c!ave de
nuestro servidor y, por tanto, que aparentemente est'n en nuestro servidor (e).
E! fic,ero clave.key de)e ser propiedad de! administrador -usuario root. y no
de)e ser accesi)!e por nadie m's. Adem's, es necesario ,acer una copia de dic,o
fic,ero y uardar!a en un !uar seuro, pues si dic,o fic,ero fuera destruido por un
:
En estos apuntes nos !imitaremos a introducir !os comandos necesarios para rea!i/ar !a funcin deseada.
Si se desea o)tener m's informacin so)re openss!, etc., puede consu!tarse e! manua! de 4inu+ o !a p'ina
(e) ,ttp1@@(((.openss!.or.
#
En !a actua!idad, una c!ave privada de B5: )its es inseura para !a mayor%a de usos.
D
4a contrase*a de)e tener, como m%nimo, oc,o caracteres, inc!uyendo entre !os caracteres n3meros y
s%m)o!os de puntuacin, y no de)e ser una pa!a)ra que est2 inc!uida en un diccionario o f'ci!mente
deriva)!e de una pa!a)ra e+istente en e! mismo.
B
E! fic,ero es creado a! redireccionar !a sa!ida de! comando a un fic,ero. Si no se redirecciona !a sa!ida a
un fic,ero !a sa!ida de! comando es enviada a !a sa!ida est'ndar, enera!mente !a panta!!a.
0o)!e Titu!acin $nform'tica ? Te!em'tica :
Administracin y Gestin de Redes Creacin y administracin de certificados de...
)orrado, error de disco, etc., despu2s de crear con 2! un certificado, este certificado no
podr%a uti!i/arse nunca m's y de)er%a ser sustituido por un nuevo certificado.
Si de! certificado creado se desea e+traer !a c!ave p3)!ica asociada, se de)e
e&ecutar e! comando1
openssl rsa -in clave.key -p!ot -ot p!lica.key
0onde clave.key es e! fic,ero que contiene e! par de c!aves p3)!ica@privada
enerado con cua!quiera de !os comandos vistos con anterioridad y publica.key es e!
fic,ero que contendr' !a c!ave p3)!ica e+tra%da. Si e! fic,ero con e! par de c!aves
p3)!ica@privada fue enerado con !a opcin de cifrado, se so!icita !a contrase*a para
poder acceder a !a c!ave privada.
Creacin de un certificado.
6na ve/ se ,an creado e! par de c!aves p3)!ica y privada, de)emos pasar a crear
un certificado, tanto para aseurar nuestra identidad ante !os c!ientes, como para
informar a !os mismos de nuestra c!ave p3)!ica.
E+isten dos mode!os de certificados, !os certificados emitidos por una autoridad
de certificacin -Certification Aut,ority.
6
y !os certificados autofirmados. 4os primeros,
son aque!!os en !os que una entidad, conocida con e! nom)re de autoridad de
certificacin, certifica dic,os datos, requiriendo dic,o tramite e! pao de !os servicios
efectuados, mientras que !os seundos son aque!!os en !os que e! propio servidor crea su
certificado, aseurando e! propio servidor su va!ide/ y siendo, por tanto, ratuitos.
Creacin de un certificado para su firma por una autoridad de
certificacin.
Si deseamos crear un certificado para enviar!o a una CA, de)emos e&ecutar e!
comando1
openssl re" -ne# -key clave.key -ot servidor.csr
0onde clave.key es e! fic,ero con e! par de c!aves p3)!ica y privada que ,emos
enerado con anterioridad. Si !as c!aves fueron eneradas con !a opcin de uti!i/ar una
contrase*a, dic,a contrase*a ser' so!icitada antes de comen/ar !a creacin de!
certificado.
A continuacin, e! sistema so!icitar' informacin adiciona!
7
como e! pa%s -ES., !a
provincia -Fa!encia., !a !oca!idad -Paterna., e! nom)re de !a orani/acin -6niversitat
de Fa!encia., e! nom)re de !a unidad -$RT$C., e! nom)re de! ordenador donde se
encuentra e! servidor y para e! cua! e! certificado ser' firmado -ordenador.uv.es., !a
direccin de correo de! administrador -(e)masterGordenador.uv.es., as% como dos
H
6n !istado de !as autoridades de certificacin reconocidas puede encontrarse en !as opciones de
seuridad de! naveador (e) que tenamos insta!ado en e! ordenador.
I
4os datos que fiuran entre par2ntesis son aque!!os que de)er%an introducirse para enerar !a so!icitud de
un certificado por parte de! $nstituto de Ro)tica y Tecno!o%as de !a $nformacin y !a Comunicacin de
!a 6niversitat de Fa!Jncia.
0o)!e Titu!acin $nform'tica ? Te!em'tica #
Administracin y Gestin de Redes Creacin y administracin de certificados de...
campos adiciona!es -otra contrase*a y nom)re opciona!. que de)en de&arse en )!anco,
pues en caso contrario a!unas CAs pueden rec,a/ar !a so!icitud de firma de! certificado
a! no admitir e! uso de dic,os campos, no necesarios por otra parte.
Adem's, de)e evitarse en e! pa%s, provincia, etc., caracteres especia!es como G,
K, L, voca!es acentuadas, etc., pues a!unas CAs rec,a/an !as peticiones de certificados
que contienen dic,os caracteres
8
.
6na ve/ introducida !a informacin, se crear' un fic,ero !!amado servidor.csr, e!
cua! de)e enviarse a !a CA
9
. 6na ve/ firmado, !a CA enviar', enera!mente por correo
e!ectrnico, un fic,ero con e! certificado firmado. 0ic,o fic,ero, de nom)re
servidor.pem, es e! que de)e insta!arse para ser usado por e! servidor deseado.
Creacin de un certificado autofirmado.
Si !o que deseamos crear es un certificado autofirmado, de)emos e&ecutar e!
comando1
openssl re" -ne# -key clave.key -$%0& -days 3'% -ot
servidor.pem
0onde, iua! que en e! caso anterior, clave.key es e! fic,ero con e! par de c!aves
p3)!ica y privada que ,emos enerado con anterioridad, siendo so!icitada !a contrase*a,
si !a c!ave ,a sido creada con contrase*a. A continuacin, e! prorama so!icitar' !a
misma informacin que en e! caso anterior, pudiendo responderse de iua! forma que
antes y con !as mismas restricciones. Como sa!ida, o)tendremos un fic,ero,
servidor.pem, e! cua! puede ya insta!arse para ser usado por e! servidor deseado.
Resa!tar que en !a eneracin de! certificado autofirmado e! arumento Mx509
indica que se firme como 9.BCN, mientras que e! arumento Mdays 365 indica !a va!ide/,
en d%as, de! certificado, a partir de! instante en que se cre
10
.
Instalacin de un certificado.
4a insta!acin de un certificado es diferente si se trata de! c!iente o de! servidor.
Instalacin de un certificado en el servidor.
4a insta!acin en e! servidor de un certificado es tan senci!!a como copiar en !os
directorios adecuados e! fic,ero con e! par de c!aves p3)!ica@privada que se ener para
crear e! certificado y e! certificado firmado por !a CA o autofirmado.
As%, en e! caso de! servidor (e) Apac,e, si deseamos insta!ar un certificado,
de)eremos copiar en e! directorio /etc/pki/tls/private e! fic,ero con !a c!ave enerada,
E
Si e! nom)re contiene a!uno de dic,os s%m)o!os, este de)e sustituirse por aque! que ref!e&e de forma
m's fie! e! verdadero nom)re.
N
Para e! env%o, pao de! certificado, etc., de)en seuirse !as instrucciones que proporcione !a autoridad de
certificacin en su p'ina (e).
5C
6na duracin de un a*o -#HB d%as. es un est'ndar de facto en !a va!ide/ de !os certificados para un
servidor.
0o)!e Titu!acin $nform'tica ? Te!em'tica D
Administracin y Gestin de Redes Creacin y administracin de certificados de...
clave.key en nuestro e&emp!o, )a&o e! nom)re localhost.key, y copiar e! certificado
firmado o autofirmado en e! directorio /etc/pki/tls/certs con e! nom)re localhost.crt
11
.
En e! caso de otros servidores, como pueden ser e! servidor dovecot que atiende
!os servicios de P"P# o $MAP )a&o SS4, e! proceso es simi!ar, so!o que en este caso !os
fic,eros anteriores, clave.key y servidor.pem, de)en copiarse en e! directorio
/etc/pki/dovecot/private y /etc/pki/dovecot/certs respectivamente, y asinar!es !os
nom)res adecuados -dovecot.pem a am)os fic,eros..
Instalacin de un certificado en el cliente.
6na ve/ ,emos creado e! certificado, nuestro servidor est' !isto para usar!o, de
forma que cada ve/ que un c!iente !e so!icite ,acer uso de! servicio encriptado, se !e
enviar' e! certificado.
Si e! certificado ,a sido firmado por una CA, esta se encontrar', de forma
enera!, reconocida como ta! por e! c!iente, con !o cua! e! certificado tan so!o ser'
compro)ado y aceptado para su uso.
Por e! contrario, si e! certificado ,a sido autofirmado, e! c!iente mostrar' a!
usuario !a informacin contenida en e! certificado, so!icit'ndo!e que de su apro)acin a
!a misma y, por tanto, a seuir uti!i/ando dic,o certificado. Esta so!icitud se rea!i/ar'
cada ve/ que e! servicio sea requerido.
Para evitar esto 3!timo, e! usuario tiene !a posi)i!idad de insta!ar e! certificado
como un certificado va!ido para ese ordenador y servicio
12
, de forma que, una ve/
insta!ado, dic,o certificado tendr' va!ide/ permanente y no se nos requerir' nunca m's
su apro)acin.
Creacin de una autoridad de certificacin.
A pesar de !a posi)i!idad de insta!ar de forma permanente !os certificados
autofirmados, si una entidad posee un ran n3mero de ordenadores y servicios seuros y
desea autofirmar!os, puede ser mo!esto para un usuario tener que insta!ar un ran
n3mero de certificados autofirmados, o )ien, tener que aceptar!os cada ve/.
Para evitar esto, podemos, uti!i/ando "penSS4, crear una nueva autoridad de
certificacin, !o cua! nos permitir' firmar cuantos certificados deseemos. En este caso,
e! c!iente so!o de)er' descararse e insta!ar nuestro certificado autofirmado que nos
acredita como autoridad de certificacin
13
. A partir de ese momento, todos !os
certificados que ,ayan sido firmados por nuestra propia CA tendr'n !a misma va!ide/
que !os firmados por cua!quier otra CA.
55
4os nom)res de !os fic,eros pueden modificarse si se modifican dic,os nom)res en e! fic,ero de
confiuracin de! servidor (e) Apac,e, !o que veremos en temas posteriores.
5:
4a insta!acin de! certificado depende de cada sistema operativo, etc., pero sue!e resu!tar muy senci!!a
de rea!i/ar.
5#
E! certificado que nos acredita como una autoridad de certificacin puede ser puesto a disposicin de
!os usuarios que deseen descar'rse!o en una p'ina (e), por e&emp!o.
0o)!e Titu!acin $nform'tica ? Te!em'tica B
Administracin y Gestin de Redes Creacin y administracin de certificados de...
4a creacin de una autoridad de certificacin es un proceso re!ativamente
senci!!o. Para e!!o, de)emos crear un directorio, e! cua! so!o de)e ser accesi)!e por e!
administrador de! sistema. Si suponemos que dic,o directorio es creado en e! directorio
ra%/ de! administrador de! sistema -directorio /root., y tiene como nom)re !, dentro
de! mismo de)emos crear !os directorios que se deta!!an a continuacin1
Directorio Descripcin
@root@CA@certs 0irectorio donde se a!macenaran !os certificados ya firmados y
enviados a !os c!ientes.
@root@CA@ne(certs 0irectorio donde se uardan !os certificados que aca)an de ser
firmados.
@root@CA@cr! -Certificate Revo=ation 4ist.. 0irectorio donde !os certificados
revocados son a!macenados.
@root@CA@csr -Certificate Sinin Request.. 0irectorio donde son a!macenadas !as
peticiones de certificados pendientes de firmar.
@root@CA@private 0irectorio donde se a!macenaran !a c!ave privada de !a autoridad de
certificacin, as% como !as dem's c!aves privadas que sean
eneradas para !os diferentes servicios.
Adem's de !os directorios anteriores, de)emos crear tres fic,eros, de nom)res
/root/!/serial, /root/!/crl"umber y /root/!/i"dex.txt. E! primero de e!!os,
/root/!/serial, ser' un fic,ero que de)er' contener, inicia!mente, e! va!or C5 seuido
de un sa!to de !%nea
5D
. Este fic,ero indica e! n3mero de serie que tendr' e! siuiente
certificado que sea firmado. E! seundo fic,ero /root/!/crl"umber indica e! n3mero
que tendr' !a siuiente !ista de certificados revocados
5B
y tam)i2n de)er' tener,
inicia!mente, e! va!or C5 seuido de un sa!to de !%nea. Por su parte, e! fic,ero
/root/!/i"dex.txt de)er' estar vac%o inicia!mente y ser' una 7)ase de datos< con
informacin so)re !os certificados firmados. Am)os fic,eros son actua!i/ados de forma
autom'tica una ve/ firmado un nuevo certificado. Por tanto, !a estructura de directorios
y fic,eros que de)er' e+istir inicia!mente es1
/root/CA/
certs/ newcerts/ crl/ csr/ private/ serial index.txt crlnumber
6na ve/ creados !os directorios y fic,eros, de)emos modificar e! fic,ero de
confiuracin de "penSS4
16
, que es /etc/pki/tls/ope"ssl.c"#. Para no modificar dic,o
fic,ero, podemos rea!i/ar una copia de! mismo en e! directorio donde se encuentra
nuestra autoridad de certificacin. As%, por e&emp!o, puede copiarse a /root/!/irtic.c"#.
0entro de! fic,ero de confiuracin, tan so!o es necesario modificar,
enera!mente, tres secciones, $ !%de#ault &, $ re'%disti"(uished%"ame & y $ re' &. En
!a seccin $ !%de#ault & de)emos especificar !os siuientes va!ores
5I
1
5D
Este fic,ero y e! siuiente pueden crearse con e! comando echo )0*) > #ichero.
5B
En !as versiones antiuas de openss! este fic,ero no er' necesario, uti!i/ando en su !uar e! va!or que
conten%a e! fic,ero seria!.
5H
6n e&emp!o comp!eto de un directorio de CA se encuentra en @etc@p=i@CA, mientras que scripts para
e&ecutar !as !a)ores m's comunes de una CA se encuentra dentro de! directorio @etc@p=i@t!s@misc.
0o)!e Titu!acin $nform'tica ? Te!em'tica H
Administracin y Gestin de Redes Creacin y administracin de certificados de...
Variable Valor Descripcin
dir @root@CA 0irectorio ra%/ de !a autoridad de
certificacin.
certs Odir@certs 0irectorio donde se a!macenaran !os
certificados ya firmados.
cr!Pdir Odir@cr! 0irectorio donde !os certificados revocados
son a!macenados.
data)ase Odir@inde+.t+t Arc,ivo con !a )ase de datos de !os
certificados.
ne(PcertsPdir Odir@ne(certs 0irectorio donde se uardan !os certificados
que aca)an de ser firmados.
certificate Odir@irtic.pem Arc,ivo con !a c!ave p3)!ica de !a autoridad
de certificacin.
seria! Odir@seria! Arc,ivo con e! n3mero de serie de !os
certificados.
cr!num)er Odir@cr!num)er Arc,ivo con e! n3mero de serie de
revocacin. Si se desea un funcionamiento
como en versiones antiuas de openss! puede
comentarse esta !%nea.
cr! Odir@cr!.pem 4ista de !os certificados revocados.
privateP=ey Odir@private@irtic.=ey Arc,ivo con !a c!ave privada de !a autoridad
de certificacin.
RA80Q$4E Odir@private@.rand Arc,ivo con e! n3mero a!eatorio privado.
+BCNPe+tensions usrPcert E+tensiones que ,an de a*adirse a!
certificado.
namePopt caPdefau!t Qormato en que se mostrar' e! nom)re de!
certificado antes de que sea firmado.
certPopt caPdefau!t Qormato en que se mostrar' un certificado
antes de que sea firmado.
defau!tPdays #HB 0%as por defecto para !os que se firma e!
arc,ivo.
defau!tPcr!Pdays #C 0%as por defecto en que de)e ser actua!i/ada
!a !ista de certificados revocados de esta
autoridad de certificacin.
defau!tPmd defau!t Compendio de mensa&e uti!i/ado, por defecto
es mdB -va!or defau!t..
preserve no $ndica si se ,a de mantener o no e! orden
0omain 8ame.
po!icy po!icyPmatc, Po!%tica por defecto a ap!icar si no se
especifica ninuna.
4a varia)!e policy de !a ta)!a anterior puede tomar dos va!ores, policy%math o
policy%a"ythi"(, que se encuentran definidas como se indica a continuacin1
[ policy(matc) ]
contry*ame + matc)
state,r-rovince*ame + matc)
organi.ation*ame + matc)
5I
4os va!ores de confiuracin que uti!i/aremos suponen que e! directorio de !a autoridad de certificacin
se ,a creado dentro de! directorio /root de! sistema.
0o)!e Titu!acin $nform'tica ? Te!em'tica I
Administracin y Gestin de Redes Creacin y administracin de certificados de...
organi.ational/nit*ame + optional
common*ame + spplied
email0ddress + optional
[ policy(anyt)ing ]
contry*ame + optional
state,r-rovince*ame + optional
locality*ame + optional
organi.ation*ame + optional
organi.ational/nit*ame + optional
common*ame + spplied
email0ddress + optional
0onde e! va!or match indica que ese campo de)e ser iua! en !a autoridad de
certificacin y en e! certificado a firmar, mientras que e! va!or supplied es que es
o)!iatorio que sea proporcionado en e! certificado a firmar, aunque puede ser distinto
de! va!or e+istente en !a autoridad de certificacin, y e! va!or optio"al es que puede no
ser proporcionado en e! certificado a firmar.
4a po!%tica policy%match sirve para que una autoridad de certificacin pueda
firmar sus propios certificados, mientras que !a po!%tica policy%a"ythi"( permite que
una autoridad de certificacin firme certificados de cua!quier otra orani/acin.
Por otra parte, en !a seccin $ re'%disti"(uished%"ame & de)emos especificar !os
siuientes va!ores1
Variable Valor Descripcin
country8amePdefau!t ES Pa%s de emisin de!
certificado
state"rProvince8amePdefau!t Fa!encia Estado o provincia de
emisin
!oca!ity8amePdefau!t Paterna 4oca!idad de emisin de!
certificado
C.orani/ation8amePdefau!t 6niversitat de Fa!encia 8om)re de !a
orani/acin
orani/ationa!6nit8amePdefau!t $RT$C 8om)re de !a seccin
common8amePdefau!t Autoridad de Certificacion
de! $RT$C
8om)re de !a autoridad
emai!AddressPdefau!t (e)masterGirtic.uv.es 0ireccin de correo de!
responsa)!e de !a
autoridad de certificacin
Por 3!timo, en !a seccin $ re' & puede ser necesario, en a!unos casos, modificar
!os va!ores por defecto1
Variable Valor por e!ecto Descripcin
defau!tP)its :CDE Rits por defecto de !a c!ave privada.
defau!tPmd s,a5 Compendio de mensa&e usado por defecto.
0o)!e Titu!acin $nform'tica ? Te!em'tica E
Administracin y Gestin de Redes Creacin y administracin de certificados de...
6na ve/ confiurado e! fic,ero, podemos crear e! certificado de !a autoridad de
certificacin como
5E
1
openssl re" -ne# -$%0& -days 3'%0 -con1ig 2root2302irtic.cn1
-keyot 2root2302private2irtic.key -ot 2root2302irtic.pem
En !a e&ecucin de !a creacin de! certificado se so!icita una contrase*a de
acceso a !a c!ave, as% como !os datos de! pa%s, !oca!idad, etc. Si e! fic,ero de
confiuracin ,a sido correctamente confiurado, todos !os datos por defecto ser'n
va!idos.
6na ve/ enerados !os certificados, podemos compro)ar !a c!ave secreta
enerada con1
openssl rsa -in 2root2302private2irtic.key -te$t
As% como e! certificado enerado1
openssl $%0& -in 2root2302irtic.pem -te$t
S e! propsito de! mismo con1
openssl $%0& -in 2root2302irtic.pem -prpose
Distribucin de la acreditacin de una autoridad de
certificacin.
0e forma enera!, !as autoridades certificadoras se insta!an con e! sistema
operativo, siendo modificadas por !as actua!i/aciones de !os propios sistemas operativos
a! inc!uirse nuevas autoridades de certificacin.
Sin em)aro, si ,emos creado nuestra propia autoridad de certificacin,
desearemos que esta pueda ser insta!ada como autoridad de certificacin ra%/, de forma
que cua!quier certificado firmado por nuestra CA sea admitido autom'ticamente.
Para e!!o, !a forma m's cmoda consiste en co!ocar, en un sitio a! que sea
posi)!e acceder por red -un servidor (e), un servidor de QTP, etc.., e! fic,ero irtic.pem
o)tenido con anterioridad
5N
. 0ic,o fic,ero, descarado por !a red e insta!ado en !a !ista
de autoridades de certificacin ra%/ de un ordenador, nos confiere !a autoridad de una
CA para ese ordenador, por !o que todo certificado firmado por nosotros ser'
autom'ticamente va!idado.
5E
Suponemos que todos !os comandos se e&ecutan desde e! directorio dentro de! cua! se encuentra creado
e! directorio ra%/ de !a autoridad de certificacin -directorio CA.. En caso de no ser as% de)er%a cam)iarse
e! comando para indicar e! camino adecuado.
5N
A! fic,ero irtic.pem puede ser necesario cam)iar!e !a e+tensin, por e&emp!o a irtic.cer, para que
a!unos sistemas operativos como Tindo(s rea!icen de forma autom'tica !a importacin de! certificado.
0o)!e Titu!acin $nform'tica ? Te!em'tica N
Administracin y Gestin de Redes Creacin y administracin de certificados de...
Firma de un certificado por la autoridad de certificacin.
6na ve/ ,emos creado !a autoridad de certificacin, vamos a e+p!icar como
firmar una so!icitud de certificado. Recordar, previamente, que dic,o certificado ser'
va!ido para todos aque!!os c!ientes que recono/can !a va!ide/ de nuestra autoridad de
certificacin.
Para e!!o, suponamos que nos ,a !!eado una so!icitud de certificado, que
tenemos en e! fic,ero /root/!/csr/servidor.csr. 0ic,a so!icitud ,a sido enerada ta! y
como vimos con anterioridad.
Podemos e+aminar dic,a so!icitud que nos ,a !!eado mediante e! comando1
openssl re" -in 2root2302csr2servidor.csr -te$t
Si consideramos que dic,a so!icitud es correcta, podemos pasar a firmar!a
mediante1
openssl ca -con1ig 2root2302irtic.cn1 -in
2root2302csr2servidor.csr -ver!ose
E! tiempo de va!ide/ de! certificado es dado por e! va!or de !a varia)!e
de#ault%days de! fic,ero de confiuracin, #HB d%as en e! e&emp!o que estamos
uti!i/ando.
Como sa!ida de! comando anterior, o)tendremos, dentro de! directorio
./!/"e+certs un fic,ero con e! nom)re <",mero de serie>.pem, donde <",mero de
serie> es e! n3mero de serie que en e! instante de !a firma tuviera e! fic,ero serial.
Con e! comando comentado en !a !%nea anterior, a! no especificar ninuna
po!%tica, uti!i/amos !a po!%tica por defecto, por !o que so!o podemos firmar certificados,
de nuestra propia orani/acin, que es !a po!%tica por defecto. Si deseamos firmar
certificados con nuestra autoridad de certificacin para cua!quier orani/acin e+terna,
de)emos e&ecutar e! comando1
openssl ca -con1ig 2root2302irtic.cn1 -in
2root2302csr2servidor.csr -ver!ose -policy policy(anyt)ing
E! cua! indica que no es necesario que coincida e! nom)re de !a autoridad de
certificacin con e! nom)re de !a autoridad que so!icita !a firma de! certificado
:C
.
Revocacin de certificados por una autoridad de certificacin.
Toda autoridad certificadora tiene !a posi)i!idad de revocar a!3n certificado
emitido. E! motivo de revocar un certificado puede ser tan senci!!o como !a caducidad
de! mismo
:5
, e! e+trav%o de a!3n certificado, etc.
:C
Este comando !o que ,ace es se!eccionar !a po!%tica Upo!icyPanyt,inU de! fic,ero de confiuracin en
!uar de !a po!%tica por defecto Upo!icyPmatc,U.
:5
6na autoridad de certificacin no puede firmar dos certificados para e! mismo ordenador sin ,a)er
revocado previamente e! certificado anterior, o)teniendo, en caso de no ,acer!o, un mensa&e de error
0o)!e Titu!acin $nform'tica ? Te!em'tica 5C
Administracin y Gestin de Redes Creacin y administracin de certificados de...
Para revocar un certificado, se introduce e! certificado en e! directorio ./!/crl y
se actua!i/a e! fic,ero ./!/crl.pem que contendr' !os certificados revocados por nuestra
autoridad de certificacin. Esto se rea!i/a mediante e! comando1
openssl ca 4con1ig 2root2302irtic.cn1 -revoke
2root2302certs2servidor.crt
Aue enera !a revocacin de! certificado servidor.crt y !a inc!uye en e! directorio
de certificados revocados. Por su parte, e! comando1
openssl ca 4con1ig 2root2302irtic.cn1 -gencrl -ot
2root2302crl2crl.pem
Aue actua!i/a !a !ista de certificados revocados. Podemos e+aminar !a !ista de
certificados revocados mediante e! comando1
openssl crl -in 2root2302crl2crl.pem -te$t
4a !ista de certificados revocados de)e ser puesta a disposicin de !os usuarios
de !a red de forma simi!ar a como ponemos nuestra autoridad de certificacin. Esto
permite a !os usuarios descararse !a !ista de certificados revocados e insta!ar!a en su
ordenador, pudiendo compro)ar que !os certificados que !e !!ean, adem's de ,a)er sido
firmados por nuestra CA, contin3an siendo va!idos para nuestra CA que !os ,a firmado.
Ejercicios.
5M E&ecutar !os comandos necesarios para crear un certificado autofirmado con !a c!ave
privada proteida por contrase*a, para un servidor de nom)re mi%servidor.
:M 6na empresa, de nom)re mi%empresa, posee un ran n3mero de servidores seuros,
por !o que desea convertirse en una autoridad de certificacin. E&ecutar !os comandos
necesarios para esta)!ecer dic,a empresa como autoridad de certificacin.
#M 6na empresa, que es una autoridad de certificacin, desea crear un certificado para
un nuevo servidor que aca)a de adquirir y cuyo nom)re es mi%"uevo%servidor. E&ecutar
todos !os comandos necesarios para crear e! certificado de! servidor y firmar!o por parte
de !a autoridad de certificacin.
DM 0eseamos firmar un nuevo certificado, ya creado, para un servidor !!amado
mi%servidor, a! cua! ya ,emos firmado un certificado con anterioridad. E&ecutar !os
comandos necesarios para firmar e! nuevo certificado.
indicando que no es posi)!e actua!i/ar e! fic,ero ./!/i"dex.txt.
0o)!e Titu!acin $nform'tica ? Te!em'tica 55