Manual Ssl V3
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Manual Ssl V3 as PDF for free.
More details
- Words: 1,100
- Pages: 13
INSTALACION Y CONFIGURACION SSLv3 Primero lo que debemos hacer es instalar el paquete de “openssl”.
Luego vamos a entrar a la carpeta que genera dicha instalación que es “/etc/ssl/”.
En esta carpeta debemos crear un directorio llamado “CA” es donde se van a crear todos los archivo requeridos para el SSL.
Ahora dentro de la carpeta “/etc/ssl/CA/” creamos otras dos llamadas “certificados” y “privado”. En la carpeta “certificados” es donde se guardará una copia de cada certificado que firmemos y en el directorio “privado” se guardará la llave privada.
Después debemos crear dos archivos de conformarán la base de datos de los certificados autofirmados, el primero es el archivo “serial” simplemente contiene el siguiente número de serie de nuestros certificados, ya que apenas vamos a crear el primero su número de serie será 01, después de crearlo se actualizará a 02 y así sucesivamente.
Luego por organización de nuestro servidor copiaremos el archivo “openssl.cnf” a la carpeta “CA” y haremos un backup del archivo original por seguridad.
Configuraremos el archivo “openssl.conf”, la configuración que debe haber dentro de este archivo es la siguiente: # # # # # # #
******************************************************************** www.marcar.com [email protected] Archivo de configuracion para openssl ***** openssl.cnf ******
dir
= .
# variable que establece el directorio de trabajo
# seccion que permite convertirnos en una CA # solo se hace referencia a otra seccion CA_default [ ca ] default_ca = CA_default [ CA_default ] serial = $dir/serial database new_certs_dir certificate private_key default_md preserve
= = = = = =
nameopt
=
certopt policy
= =
# archivo que guarda el siguiente numero de # serie $dir/index.txt # archvio que guarda la bd de certificados $dir/certificados # dir que guarda los certificados generados $dir/cacert.pem # nombre del archivo del certificado raiz $dir/privado/cakey.pem # llave privada del certificado raíz md5 # algoritmo de dispersión usado no # Indica si se preserva o no el orden de los # campos del DN cuando se pasa a los certs. default_ca # esta opción y la siguiente permiten mostrar # detalles del certificado default_ca policy_match # indica el nombre de la seccion # donde se especifica que campos son # obligatorios, opcionales y cuales deben ser # iguales al certificado raiz
# seccion de politicas para la emisión de certificados [ policy_match ] countryName = optional # optional, obligatorio stateOrProvinceName = optional organizationName = optional organizationalUnitName = optional # optional, campo opcional commonName = supplied # supplied, debe estar en la peticion emailAddress = optional # seccion que indica [ req ] default_bits = default_keyfile = default_md = string_mask =
como los certificados deben ser creados
# tamaño de la llave, si no se indica 512 # nombre de la llave privada # algoritmo de dispersión a utilizar # caracteres permitidos en la mascara de la # llave distinguished_name = req_distinguished_name # seccion para el nombre # distinguido (DN) req_extensions = v3_req # seccion con mas extensiones que se añaden a # la petición del certificado # # # #
1024 key.pem md5 nombstr
seccion del nombre distinguido, el valor es el prompt que se vera en pantalla. datos del propietario del certificado. esta seccion define el contenido de datos de id que el certificado llevara.
[ req_distinguished_name ] 0.organizationName 0.organizationName_default organizationalUnitName
= Nombre de la organizacion = marcar, S.A. = Departamento o division
emailAddress emailAddress_max localityName localityName_default stateOrProvinceName stateOrProvinceName_default countryName countryName_default countryName_min countryName_max commonName commonName_max
= = = = = = = = = = = =
Correo electronico 40 Ciudad o distrito Medellín Estado o provincia Antioquia Codigo del pais (dos letras) CO 2 2 Nombre comun (hostname o IP) 64
# Si en la línea de comandos se indica la opción -x509, # Las siguientes extensiones también aplican [ v3_ca ] # indica que se trata de un certificado CA raíz con autoridad para # firmar o revocar otros certificados basicConstraints = CA:TRUE # especifica bajo que método identificar a la llave publica que será # certificada subjectKeyIdentifier = hash # Especifica como identificar la llave publica authorityKeyIdentifier = keyid:always,issuer:always # extensiones de la opcion req [ v3_req ] basicConstraints = CA:FALSE subjectKeyIdentifier = hash
# los certificados firmados no son CA
# ***************************************************************************
Lo siguiente es generar la llave privada y el certificado raíz de la CA (Autoridad Cerificadora)
Veamos los que indica cada comando req -new -x509
---> crear un certificado nuevo autofirmado
-extensions v3_ca ---> crear un certificado raíz CA
-keyout
---> nombre y donde guardará la llave privada
-out
---> nombre del certificado raíz CA
-days 3650
---> el certificado será válido por 3650 días (10 años)
-config
---> archivo de configuración a utilizar
A continuación nos preguntara algunos datos como la llave privada de la CA.
Después algunos datos que necesita otorgarle al certificado, nombre de la organización, departamento de trabajo, correo electrónico del encargado, ciudad, estado, y código del país, además nombre común (dominio, IP, hostname).
Listo ya generamos la llave privada y el certificado raíz de la CA. Ahora somos una CA
Generaremos una solicitud de certificado para el cliente y una clave para esta petición
A continuación nos pedirá la clave para la nueva solicitud y además algunos datos necesarios para el certificado.
Ahora procederemos a firmar la petición generada así:
Luego nos pedirá la clave de la CA (Autoridad Certificadora), además nos mostrara los datos que la solicitud tiene para este certificado, y también nos preguntara si queremos firmar el la petición de certificado commit y que se generara una salida de certificado a los cual contestaremos que si (y).
Continuamos con la configuración del archivo del servidor APACHE
Y agregaremos las siguientes líneas al final del archivo
Por ultimo exportaremos el certificado del cliente en formato “p12” para que el navegador pueda tener nuestra Autoridad Certificadora (CA) como confiable.
Para exportarlo nos pedirá la clave que creamos con la solicitud y una clave de exportación que nos tendremos exigirá cuando estemos agregándolo al browser.
Para agregar el certificado al navegador debemos primero ir a “preferencias” y daremos clic en “ver certificados”
Y para agregarlo seleccionaremos la pestaña “sus certificados” y daremos clic en “importar”.
Y buscaremos la ruta de acceso a el certificado que esta en formato “p12”, lo seleccionaremos y daremos clic en abrir.
Luego nos pedirá la clave con que exportamos el certificado en formato “p12”
Y listo ya tendremos el certificado instalación el nuestro navegador
Nos deberá mostrar el certificado en la pestaña “sus certificados” el nuevo certificado agragado y podremos ver los detalles del certificado dando clic en “ver”
Nos mostrara algo como esto, con todos los datos de nuestra CA y del certificado.
Luego vamos a entrar a la carpeta que genera dicha instalación que es “/etc/ssl/”.
En esta carpeta debemos crear un directorio llamado “CA” es donde se van a crear todos los archivo requeridos para el SSL.
Ahora dentro de la carpeta “/etc/ssl/CA/” creamos otras dos llamadas “certificados” y “privado”. En la carpeta “certificados” es donde se guardará una copia de cada certificado que firmemos y en el directorio “privado” se guardará la llave privada.
Después debemos crear dos archivos de conformarán la base de datos de los certificados autofirmados, el primero es el archivo “serial” simplemente contiene el siguiente número de serie de nuestros certificados, ya que apenas vamos a crear el primero su número de serie será 01, después de crearlo se actualizará a 02 y así sucesivamente.
Luego por organización de nuestro servidor copiaremos el archivo “openssl.cnf” a la carpeta “CA” y haremos un backup del archivo original por seguridad.
Configuraremos el archivo “openssl.conf”, la configuración que debe haber dentro de este archivo es la siguiente: # # # # # # #
******************************************************************** www.marcar.com [email protected] Archivo de configuracion para openssl ***** openssl.cnf ******
dir
= .
# variable que establece el directorio de trabajo
# seccion que permite convertirnos en una CA # solo se hace referencia a otra seccion CA_default [ ca ] default_ca = CA_default [ CA_default ] serial = $dir/serial database new_certs_dir certificate private_key default_md preserve
= = = = = =
nameopt
=
certopt policy
= =
# archivo que guarda el siguiente numero de # serie $dir/index.txt # archvio que guarda la bd de certificados $dir/certificados # dir que guarda los certificados generados $dir/cacert.pem # nombre del archivo del certificado raiz $dir/privado/cakey.pem # llave privada del certificado raíz md5 # algoritmo de dispersión usado no # Indica si se preserva o no el orden de los # campos del DN cuando se pasa a los certs. default_ca # esta opción y la siguiente permiten mostrar # detalles del certificado default_ca policy_match # indica el nombre de la seccion # donde se especifica que campos son # obligatorios, opcionales y cuales deben ser # iguales al certificado raiz
# seccion de politicas para la emisión de certificados [ policy_match ] countryName = optional # optional, obligatorio stateOrProvinceName = optional organizationName = optional organizationalUnitName = optional # optional, campo opcional commonName = supplied # supplied, debe estar en la peticion emailAddress = optional # seccion que indica [ req ] default_bits = default_keyfile = default_md = string_mask =
como los certificados deben ser creados
# tamaño de la llave, si no se indica 512 # nombre de la llave privada # algoritmo de dispersión a utilizar # caracteres permitidos en la mascara de la # llave distinguished_name = req_distinguished_name # seccion para el nombre # distinguido (DN) req_extensions = v3_req # seccion con mas extensiones que se añaden a # la petición del certificado # # # #
1024 key.pem md5 nombstr
seccion del nombre distinguido, el valor es el prompt que se vera en pantalla. datos del propietario del certificado. esta seccion define el contenido de datos de id que el certificado llevara.
[ req_distinguished_name ] 0.organizationName 0.organizationName_default organizationalUnitName
= Nombre de la organizacion = marcar, S.A. = Departamento o division
emailAddress emailAddress_max localityName localityName_default stateOrProvinceName stateOrProvinceName_default countryName countryName_default countryName_min countryName_max commonName commonName_max
= = = = = = = = = = = =
Correo electronico 40 Ciudad o distrito Medellín Estado o provincia Antioquia Codigo del pais (dos letras) CO 2 2 Nombre comun (hostname o IP) 64
# Si en la línea de comandos se indica la opción -x509, # Las siguientes extensiones también aplican [ v3_ca ] # indica que se trata de un certificado CA raíz con autoridad para # firmar o revocar otros certificados basicConstraints = CA:TRUE # especifica bajo que método identificar a la llave publica que será # certificada subjectKeyIdentifier = hash # Especifica como identificar la llave publica authorityKeyIdentifier = keyid:always,issuer:always # extensiones de la opcion req [ v3_req ] basicConstraints = CA:FALSE subjectKeyIdentifier = hash
# los certificados firmados no son CA
# ***************************************************************************
Lo siguiente es generar la llave privada y el certificado raíz de la CA (Autoridad Cerificadora)
Veamos los que indica cada comando req -new -x509
---> crear un certificado nuevo autofirmado
-extensions v3_ca ---> crear un certificado raíz CA
-keyout
---> nombre y donde guardará la llave privada
-out
---> nombre del certificado raíz CA
-days 3650
---> el certificado será válido por 3650 días (10 años)
-config
---> archivo de configuración a utilizar
A continuación nos preguntara algunos datos como la llave privada de la CA.
Después algunos datos que necesita otorgarle al certificado, nombre de la organización, departamento de trabajo, correo electrónico del encargado, ciudad, estado, y código del país, además nombre común (dominio, IP, hostname).
Listo ya generamos la llave privada y el certificado raíz de la CA. Ahora somos una CA
Generaremos una solicitud de certificado para el cliente y una clave para esta petición
A continuación nos pedirá la clave para la nueva solicitud y además algunos datos necesarios para el certificado.
Ahora procederemos a firmar la petición generada así:
Luego nos pedirá la clave de la CA (Autoridad Certificadora), además nos mostrara los datos que la solicitud tiene para este certificado, y también nos preguntara si queremos firmar el la petición de certificado commit y que se generara una salida de certificado a los cual contestaremos que si (y).
Continuamos con la configuración del archivo del servidor APACHE
Y agregaremos las siguientes líneas al final del archivo
Por ultimo exportaremos el certificado del cliente en formato “p12” para que el navegador pueda tener nuestra Autoridad Certificadora (CA) como confiable.
Para exportarlo nos pedirá la clave que creamos con la solicitud y una clave de exportación que nos tendremos exigirá cuando estemos agregándolo al browser.
Para agregar el certificado al navegador debemos primero ir a “preferencias” y daremos clic en “ver certificados”
Y para agregarlo seleccionaremos la pestaña “sus certificados” y daremos clic en “importar”.
Y buscaremos la ruta de acceso a el certificado que esta en formato “p12”, lo seleccionaremos y daremos clic en abrir.
Luego nos pedirá la clave con que exportamos el certificado en formato “p12”
Y listo ya tendremos el certificado instalación el nuestro navegador
Nos deberá mostrar el certificado en la pestaña “sus certificados” el nuevo certificado agragado y podremos ver los detalles del certificado dando clic en “ver”
Nos mostrara algo como esto, con todos los datos de nuestra CA y del certificado.
Related Documents
Manual Ssl V3
April 2020 16
Manual De Ssl
December 2019 15
Ssl
May 2020 24
Ssl
November 2019 36
Ssl
December 2019 37