Introducción
Este artículo explicará cómo generar una solicitud de firma de certificado (CSR). Se le pedirá que envíe una CSR cuando obtenga un certificado SSL/TLS de una autoridad de certificación (CA).
Requisitos
Cualquier distribución de Linux con OpenSSL instalado. Si no tiene un servidor, ¿por qué no considerar un VPS Linux de Atlantic.Net y estar listo y funcionando en menos de 30 segundos?
Generar una solicitud de firma de certificado (CSR)
Tanto la CSR como la clave privada para su servidor se pueden generar en un solo paso. Asegúrese de mantener el acceso a su clave privada lo más restringido posible, ya que este identificador único se usa para verificar la autenticidad de su servidor.
Nota:si tiene problemas para ejecutar el comando correctamente, es posible que deba iniciar sesión como sudo o root.
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
A continuación, se le pedirá la siguiente información:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Nota:La contraseña de desafío no está relacionada con la contraseña de la clave privada. Déjelo en blanco a menos que lo requiera su autoridad de certificación. También puede dejar en blanco la pregunta "nombre opcional de la empresa".
Ahora tiene el archivo ".csr" (Solicitud de firma de certificado) que deberá enviarse a una autoridad de certificación (CA). Una vez que la CA haya firmado el certificado, devolverá un archivo de certificado. El formato del certificado emitido variará según la autoridad de certificación. El tipo más común será el formato PEM que utiliza extensiones como .crt , .clave , .csr , .cer y .pem .
Según las necesidades de su aplicación o servidor web, es posible que deba convertir uno de estos formatos a otros formatos, como PKCS#7, PKCS#12 o DER. Aquí hay algunos comandos útiles de conversión de archivos:
PEM → PKCS#7 (P7B)
openssl crl2pkcs7 -nocrl -certfile yourdomain.cer -out yourdomain.p7b -certfile CACert.cer
El -nocrl La opción indica que no incluirá una lista de revocación de certificados (CRL) en la estructura PKCS#7. La mayoría de las implementaciones nuevas usarán esta opción, ya que no habrá certificados más antiguos para revocar.
Cada -certfile La opción indica un archivo de certificado que se incluirá en el archivo de salida, lo cual es útil para crear una cadena de certificados que incluya el certificado del servidor y el certificado intermedio de la autoridad de certificación ("sudominio.cer" y "CACert.cer", respectivamente, en el ejemplo arriba).
El -out La opción indica el nombre del archivo para escribir la salida PKCS#7.
PEM → PKCS#12 (PFX)
openssl pkcs12 -export -out yourdomain.pfx -inkey yourdomain.key -in yourdomain.crt -certfile CACert.crt
La -export La opción indica que este comando creará un archivo PKCS#12. El comportamiento predeterminado sin -export opción es analizar la entrada.
El -in La opción indica el archivo con formato PEM que se va a leer. Si este archivo no incluye también la clave privada, necesitará el -inkey opción para indicar el archivo de clave privada, también.
El -certfile La opción indica certificados adicionales para incluir en el archivo PKCS#12, como certificados intermedios.
El -out La opción indica el archivo en el que escribir la salida, generalmente un archivo ".pfx".
PEM → DER
openssl x509 -outform der -in yourdomain.pem -out yourdomain.der
El -in indica el archivo de certificado de entrada que se va a convertir.
El -out indica el nombre del archivo de salida.
El -outform La opción indica el formato de archivo para la salida (en este ejemplo, el archivo de entrada está en formato PEM, y este comando tomaría ese archivo y crearía un archivo con formato DER).