Una de las partes más importantes de la configuración, es la creación de una entidad certificadora[2]. Para ello es necesario instalar OpenSSL[3] y una vez instalado, hacer nuestro certificado de autoridad. La forma de hacerlo se detalla en los siguientes pasos[4]:
Edite el archivo /etc/ssl/openssl.cnf y cambie la opción 'default_bits' de 1024 a 2048 y la opción 'default_days' a 365 (o similar)[5].
Creamos un directorio para almacenar el nuevo certificado (algo similar a /var/tmp/sslca) y le cambiamos los permisos a 700, para impedir que los usuarios tengan acceso al certificado.
Edite el fichero /usr/lib/ssl/misc/CA.sh y cambie la línea 'DAYS="days 365"' por un valor muy elevado[6]. Asegúrese de que este número es mayor que el establecido en el primer punto, o Windows no aceptará sus certificados.
Ejecute el comando:
# /usr/lib/ssl/misc/CA.sh -newca
Y siga los pasos como se muestra a continuación. La letra en negrita es el texto que yo he tecleado:
![[Important]](./imagenes/important.png)
Importante No utilice caracteres especiales, como guiones, signos de suma, tildes, etc.; estos pueden confundir a la implementación IPSec de MS Windows.
# /usr/lib/ssl/misc/CA.sh -newca CA certificate filename (or enter to create) (enter) Making CA certificate ... Generating a 2048 bit RSA private key .......+++ ..................+++ writing new private key to './demoCA/private/./cakey.pem' Enter PEM pass phrase:ca-password(enter) Verifying - Enter PEM pass phrase:ca-password(enter) ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:PT(enter) State or Province Name (full name) [Some-State]:Braganca(enter) Locality Name (eg, city) []:Braganca Organization Name (eg, company) [Internet Widgits Pty Ltd]:Instituto Politecnico de Braganca(enter) Organizational Unit Name (eg, section) []:Comunicacoes(enter) Common Name (eg, YOUR name) []:Sergio Gonzalez Gonzalez(enter) Email Address []:sergio.gonzalez@hispalinux.es(enter)
Una vez finalizado el proceso de generación, ya disponemos de una entidad certificadora, con la cual podremos crear certificados.
[2] CA: Certificate Authority
[3] Si está utilizando un sistema Debian GNU/Linux, sólo tendrá que ejecutar:
# apt-get install openssl |
[4] Vamos a suponer que estamos trabajando con un sistema Debian GNU/Linux para esta instalación.
[5] Una recomendación sería establecer este número bastante elevado, algo similar a 3650, de esta forma, el certificado tiene una valided de 10 años.
[6] Esto establece la valided de nuestra entidad certificadora